Apache 發布 Log4j 版本 2.15.0 以解決被利用的關鍵 RCE 弱點

風險等級: 高度威脅
摘 要: 弱點通告:Apache發布 Log4j 版本 2.15.0 以解決被利用的關鍵 RCE 弱點,建議請管理者儘速評估更新!
影響系統:
  • Apache Log4j 2.0-beta9 至 2.14.1 版本
  • Apache Log4j 2.0-alpha1 至 2.13.1 版本
  • Apache Log4j 2.0-alpha1 至 2.8.1 版本
解決辦法: 請參考 Apache官網並依建議方式處理:
https://logging.apache.org/log4j/2.x/security.html
(1)更新到Log4j 2.15.0或更高版本
(2)更新到Log4j 2.13.2或更高版本
(3)更新到Log4j 2.8.2或更高版本
HiNet WAF 對於此弱點,已有提供解決方案。
細節描述: Apache近期發布了一個安全公告,以解決影響 Log4j 版本 2.0-beta9 到 2.14.1 的遠程代碼執行弱點
(CVE-2021-44228)。遠程攻擊者可以利用此弱點來控制受影響的系統。Log4j 是一種開源的、基於 Java
的日誌實用程序,被企業應用程序和雲服務廣泛使用。
參考資訊: US-CERT
Apache公告
Apache Download