安全公告
当前位置: 首页>>网络安全>>安全公告>>正文
关于Apache Log4j 2.17.0 发布的安全公告
2021-12-29     (点击: )

大工网安告[2021]039号

一、情况分析

近日,监测发现互联网中出现 Apache Log4j2 的多个安全漏洞。目前,Apache Log4j正式发布Apache Log4j 2.17.0,该版本重点解决当前曝光的三个漏洞,分别是安全漏洞CVE-2021-45105、安全漏洞CVE-2021-45046、安全漏洞CVE-2021-44228、除此以外还带来了一些新功能,如API与实现分开,此外还支持多种API,添加对对 Log4j 1.2、SLF4J、Commons Logging 和 java.util.logging (JUL) API 的支持。由于漏洞影响范围极广,建议广大用户及时排查相关漏洞。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。由于Apache Log4j2在JAVA应用中使用量大,目前已知受影响的组件应用有:Apache Struts2、Apache Solr、Apache Druid、Apache Flink,但问题不仅仅局限在这些项目,用Java开发的系统都有可能用此日志框架。

二、影响范围

Apache Log4j 2.x <= 2.14.1

三、处置建议

升级至最新版本:https://logging.apache.org/log4j/2.x/download.html

参考链接:

https://github.com/apache/logging-log4j2