事件说明:

Apache Log4j2远程代码执行漏洞细节被公开。由于Apache Log4j2远程代码执行漏洞利用无需特殊配置,攻击者就可利用该漏洞远程执行代码,因此应用了Apache Log4j2的企业将面临极大危害,需尽快进行修复,以避免该漏洞带来的危害。

漏洞时间线:

漏洞描述:

Apache Log4j2是一个基于Java的日志记录工具,该工具重写了Log4j框架,并且引入了大量丰富的特性,Apache log4j-2是Log4j的升级版,这个日志框架被大量用于业务系统开发,用来记录日志信息。在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中,而攻击者则可以利用此特性通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。

影响范围:

Apache Log4j 2.x <= 2.14.1

修复建议:

排查应用是否引入了Apache Log4j2 Jar包,若存在依赖引入,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。

相关法规:

《网络产品安全漏洞管理规定》第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:

(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。

(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。

(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。

(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

(八)法律法规的其他相关规定。

法规原文:http://www.cac.gov.cn/2021-07/13/c_1627761607640342.htm
文章来源:瑞星