更新时间:2023-10-08 GMT+08:00
一键式重置密码插件漏洞公告
漏洞公告
华为云弹性云服务器提供了重置密码功能,当弹性云服务器的密码丢失或过期时,可使用该功能进行一键式重置密码。
2022年1月14日以前的旧版本一键式重置密码插件“CloudResetPwdUpdateAgent ”使用了Apache Log4j2组件,会被安全工具扫描出漏洞。
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
华为云修复时间 |
|---|---|---|---|---|
Apache Log4j2 远程代码执行 |
严重 |
2021-12-09 |
2022-1-14 |
|
Apache Log4j2 远程代码执行 |
严重 |
2021-12-15 |
2022-1-14 |
|
Apache Log4j2 拒绝服务 |
中 |
2021-12-18 |
2022-1-14 |
|
Apache Log4j2 远程代码执行 |
中 |
2021-12-29 |
2022-1-14 |
漏洞影响
一键式重置密码插件是弹性云服务器内部运行的客户端进程,不对外提供任何网络服务。经华为云安全实验室分析验证,一键式重置密码插件无可利用条件,无安全风险。
判断方法
老版本一键式重置密码插件的部署路径为:
- /CloudResetPwdUpdateAgent/lib/log4j-api-2.8.2.jar
- /CloudResetPwdUpdateAgent/lib/log4j-core-2.8.2.jar
如存在以上文件,则说明使用的是老版本一键式重置密码插件。
漏洞修复方案
弹性云服务器最新版本的插件已移除对Apache Log4j2组件的依赖,建议您升级弹性云服务器的插件版本,具体操作请参考更新一键式重置密码插件。
父主题: 漏洞公告
