Apache Log4j2高危漏洞来袭企业用户尽快修复 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛企业产品讨论区 瑞星ESM防病毒终端安全防护系统 Apache Log4j2高危漏洞来袭企业用户尽快修复

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[经验分享] Apache Log4j2高危漏洞来袭企业用户尽快修复

麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	发表于： 2021-12-10 16:07 \| 只看楼主短消息资料字号：小中大 1楼 Apache Log4j2高危漏洞来袭企业用户尽快修复事件说明： Apache Log4j2 远程代码执行漏洞细节被公开。由于Apache Log4j2远程代码执行漏洞利用无需特殊配置，攻击者就可利用该漏洞远程执行代码，因此应用了 Apache Log4j2 的企业将面临极大危害，需尽快进行修复，以避免该漏洞带来的危害。漏洞时间线：漏洞描述： Apache Log4j2是一个基于Java的日志记录工具，该工具重写了Log4j框架，并且引入了大量丰富的特性，Apache log4j-2是Log4j的升级版，这个日志框架被大量用于业务系统开发，用来记录日志信息。在大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中，而攻击者则可以利用此特性通过该漏洞构造特殊的数据请求包，最终触发远程代码执行。影响范围：Apache Log4j 2.x <= 2.14.1 修复建议：排查应用是否引入了Apache Log4j2 Jar包，若存在依赖引入，则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2版本，地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。相关法规：《网络产品安全漏洞管理规定》第九条从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的，应当遵循必要、真实、客观以及有利于防范网络安全风险的原则，并遵守以下规定：（一）不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。（二）不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。（三）不得刻意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。（四）不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。（五）在发布网络产品安全漏洞时，应当同步发布修补或者防范措施。（六）在国家举办重大活动期间，未经公安部同意，不得擅自发布网络产品安全漏洞信息。（七）不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。（八）法律法规的其他相关规定。法规原文：http://www.cac.gov.cn/2021-07/13/c_1627761607640342.htm 麦青儿最后编辑于 2021-12-10 16:16:15
麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	分享到：

麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	发表于： 2021-12-10 16:42 \| 只看楼主短消息资料字号：小中大 2楼回复：Apache Log4j2高危漏洞来袭企业用户尽快修复这事儿很严重，高危漏洞！安全团队请务必重视麦青儿最后编辑于 2021-12-10 17:27:58
麦青儿管理员帖子:17112 注册: 2004-03-26 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT