Apache Log4j2 远程代码执行漏洞（CVE-2021-44228）公告

漏洞描述

近日，关于Apache Log4j2存在一处远程代码执行漏洞（CVE-2021-44228），在引入Apache Log4j2处理日志时，会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC已公开，风险较高。具体漏洞详情，请参见Apache Log4j2 远程代码执行漏洞（CVE-2021-44228）。

漏洞影响

在区块链服务（简称BCS）中提供的国密加密Fabric_SDK_Gateway_Java和Fabric_SDK_Java、开源社区的Fabric_SDK_Gateway_Java和Fabric_SDK_Java及BCS提供的对应示例Demo App_Gateway_Java_Demo、App_Java_Src_Demo、App_Java_Jar_Demo中有使用Apache Log4j2。

当前BCS已在华北-北京四Region修复以上组件的漏洞，如您使用了以上组件，请尽快至华北-北京四Region的应用案例获取最新版本并完成升级以避免安全风险。在完成漏洞修复前，请确认您区块链应用的输入源是否可信。

漏洞规避方案

升级您区块链应用中的Fabric_SDK_Gateway_Java、Fabric_SDK_Java及Apache Log4j2至最新版本。

已修复漏洞的Fabric_SDK_Gateway_Java和Fabric_SDK_Java可在华北-北京四Region的应用案例中获取，使用方式可参考：国密加密->SDK使用->安装SDK。