漏洞说明:
2021年12月09日,Apache Log4j2 爆出重大远程执行漏洞。
漏洞描述:
Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
影响范围:
2.0 ≤ Apache Log4j <= 2.15.0-rc1(据悉,官方rc1补丁有被绕过的风险)
关于TOMEXAM中log4j的说明:
1、TOMEXAM中使用了 log4j-1.2.9 版本,不在此次官方公布的受影响的版本范围。
2、漏洞爆出后,我们进行了测试,未发现TOMEXAM中使用的log4j存在远程执行漏洞。
3、后续我们将视事件发展情况,考虑更新或转换为其他日志框架,如:logback。
