Forwarded from 乌鸦观察
#漏洞 #Log4j2
【广泛使用的日志框架Log4j2 存在远程代码执行漏洞,影响大量组件】
据腾讯云、阿里云等云厂商消息,Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方还没有正式发布安全公告及版本,漏洞被利用可导致服务器被入侵等危害。
据介绍,Apache Log4j 2是一个开源的日志记录组件,使用非常的广泛。在工程中以易用方便代替了 System.out 等打印语句,它是JAVA下最流行的日志输入工具。
这一漏洞是在使用 Log4j 2 在一定场景条件下处理恶意数据时,可能会造成注入类代码执行。
由于Log4j2 作为日志记录基础第三方库,被大量Java框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量通用应用及组件,例如 :Flink、Kafka、ElasticSearch、Redis等等等。。。
影响的版本有:Apache log4j2 >= 2.0, <= 2.14.1
目前,官方已暂未发布正式漏洞补丁及修复版本,请密切关注官方最新版本发布,并关注服务器的异常行为。用户可排查Java应用是否引入 log4j-api , log4j-core 两个jar包,如有使用可考虑使用如下官方临时补丁进行修复。
也可以通过使用禁止联网、设置参数等方式进行临时缓解。(阿里云)(腾讯云)
【广泛使用的日志框架Log4j2 存在远程代码执行漏洞,影响大量组件】
据腾讯云、阿里云等云厂商消息,Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方还没有正式发布安全公告及版本,漏洞被利用可导致服务器被入侵等危害。
据介绍,Apache Log4j 2是一个开源的日志记录组件,使用非常的广泛。在工程中以易用方便代替了 System.out 等打印语句,它是JAVA下最流行的日志输入工具。
这一漏洞是在使用 Log4j 2 在一定场景条件下处理恶意数据时,可能会造成注入类代码执行。
由于Log4j2 作为日志记录基础第三方库,被大量Java框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量通用应用及组件,例如 :Flink、Kafka、ElasticSearch、Redis等等等。。。
影响的版本有:Apache log4j2 >= 2.0, <= 2.14.1
目前,官方已暂未发布正式漏洞补丁及修复版本,请密切关注官方最新版本发布,并关注服务器的异常行为。用户可排查Java应用是否引入 log4j-api , log4j-core 两个jar包,如有使用可考虑使用如下官方临时补丁进行修复。
也可以通过使用禁止联网、设置参数等方式进行临时缓解。(阿里云)(腾讯云)
Forwarded from 乌鸦观察
#漏洞 #log4j #阿里云 #工信部 #消息人士
【阿里云被暂停工信部网络安全威胁信息共享平台合作单位】
南方财经全媒体记者独家获悉,近期,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。(21世纪经济报道)
《网络产品安全漏洞管理规定》规定:网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚;该规定2021年9月1日起施行。
【阿里云被暂停工信部网络安全威胁信息共享平台合作单位】
南方财经全媒体记者独家获悉,近期,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。(21世纪经济报道)
《网络产品安全漏洞管理规定》规定:网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚;该规定2021年9月1日起施行。