Apache Log4j远程代码执行漏洞 | 风险漏洞提示

开源网安研究院注意到,一个 Apache Log4j2 的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码。SourceCheck 产品对此次漏洞可以提供在线和离线升级包来对此协助筛查。

漏洞分析

Apache Log4j2 是 一个基于Java的日志记录工具,该工具重写了是 Log4j ,且引入了大量丰富的特性。Apache log4j-2 是 Log4j 的升级,这个日志框架可以被用于业务系统开发以及记录日志信息。大多情况下,开发者可能会把用户输入导致的错误信息写入日志中。

近日经专家团队检测发现,该漏洞只要外部用户输入数据就会被日志记录,即可造成远程代码执行。成功利用该漏洞的攻击者可以在目标设备上远程执行恶意代码。

影响版本:

Apache-log4j2 V2.0-V2.14.1版本

漏洞等级:

高危,影响范围极广,危害极大。

漏洞状态:

漏洞详情POCEXP在野利用
已公开已知已知已到来

修复建议:

官方已发布更新,受影响的系统请尽快更新到最新版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

开源网安解决方案:

SourceCheck 开源组件安全及合规管理平台,是开源网安公司提供的软件成分分析 SCA 产品,用于第三方组件安全管控,能精准识别软件组件安全性、代码及许可合规性,包括企业组件使用管理、组件使用合规性审计、新漏洞感知预警、开源代码知识产权审计等,支持对源码及发布包检测,是 OWASP Top 10 中“使用含有已知漏洞的组件”安全风险的最佳解决方案。
适用于软件安全开发生命周期(S-SDLC)开发阶段与测试阶段的第三方组件安全检测,特别在大型分布式应用项目场景下,SourceCheck 平台的部署效率与实施效果更佳,可帮助企业快速管理开源组件资产,及时获取开源组件漏洞情报,有效降低开源组件安全风险,让企业交付更安全的软件。
开源网安 SourceCheck 产品对此次漏洞可以提供在线和离线升级包来对此协助筛查。

相关推荐

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:技术工厂 设计师:CSDN官方博客 返回首页

打赏作者

软件供应链

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值