Log4j2漏洞處理公告

漏洞影響情況：

Apache Log4j2是一個(gè)基于Java的日志記錄工具，是Log4j的升級(jí)，在其前身Log4j 1.x基礎(chǔ)上提供了Logback中可用的很多優(yōu)化，同時(shí)修復(fù)了Logback架構(gòu)中的一些問題，是目前最優(yōu)秀的Java日志框架之一。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄日志信息。開發(fā)者可能會(huì)將用戶輸入造成的錯(cuò)誤信息寫入日志中。此次 Apache Log4j2 漏洞觸發(fā)條件為只要外部用戶輸入的數(shù)據(jù)會(huì)被日志記錄，即可造成遠(yuǎn)程代碼執(zhí)行。

漏洞的CVE編號(hào)：(CVE-2021-44228) 、(CVE-2021-45105)

漏洞被利用情況：

目前并未了解到有其他公共渠道對本文中提到的漏洞進(jìn)行發(fā)布，以及漏洞被惡意利用的情況。

解決方案及版本更新計(jì)劃

升級(jí)應(yīng)急指揮系統(tǒng)中的中臺(tái)組件版本，版本計(jì)劃如下：

請各項(xiàng)目聯(lián)系對應(yīng)接口人，或者撥打400電話獲取升級(jí)包以及升級(jí)技術(shù)支持。

常見問題解答：

問題1：當(dāng)前產(chǎn)品受影響情況？

答：當(dāng)前產(chǎn)品并未使用log4j2作為日志記錄框架，只是引入spring框架時(shí)依賴此開源軟件，所以受影響可忽略不計(jì)，但是為了保險(xiǎn)起見，還是需要進(jìn)行升級(jí)修復(fù)。

問題2：如何判斷我的產(chǎn)品是否受影響？

答：目前發(fā)布的應(yīng)急指揮系統(tǒng)所有版本都會(huì)受影響！