产品博客

说明:关于log4j2出现远程执行漏洞的说明

漏洞说明:
2021年12月09日,Apache Log4j2 爆出重大远程执行漏洞。

漏洞描述:
Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

影响范围:
2.0 ≤ Apache Log4j <= 2.15.0-rc1(据悉,官方rc1补丁有被绕过的风险)

关于TOMEXAM中log4j的说明:
1、TOMEXAM中使用了 log4j-1.2.9 版本,不在此次官方公布的受影响的版本范围
2、漏洞爆出后,我们进行了测试,未发现TOMEXAM中使用的log4j存在远程执行漏洞
3、后续我们将视事件发展情况,考虑更新或转换为其他日志框架,如:logback。

附录:
https://www.cnvd.org.cn/webinfo/show/7116

 

 

 

 

关闭