文档首页/ 区块链服务 BCS/ 产品介绍/ 安全公告/ Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)公告
更新时间:2022-12-08 GMT+08:00

Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)公告

漏洞描述

近日,关于Apache Log4j2存在一处远程代码执行漏洞(CVE-2021-44228),在引入Apache Log4j2处理日志时,会对用户输入的内容进行一些特殊的处理,攻击者可以构造特殊的请求,触发远程代码执行。目前POC已公开,风险较高。具体漏洞详情,请参见Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)

漏洞影响

在区块链服务(简称BCS)中提供的国密加密Fabric_SDK_Gateway_Java和Fabric_SDK_Java、开源社区的Fabric_SDK_Gateway_Java和Fabric_SDK_Java及BCS提供的对应示例Demo App_Gateway_Java_Demo、App_Java_Src_Demo、App_Java_Jar_Demo中有使用Apache Log4j2。

当前BCS已在华北-北京四Region修复以上组件的漏洞,如您使用了以上组件,请尽快至华北-北京四Region的应用案例获取最新版本并完成升级以避免安全风险。在完成漏洞修复前,请确认您区块链应用的输入源是否可信。

漏洞规避方案

升级您区块链应用中的Fabric_SDK_Gateway_Java、Fabric_SDK_Java及Apache Log4j2至最新版本。

已修复漏洞的Fabric_SDK_Gateway_Java和Fabric_SDK_Java可在华北-北京四Region的应用案例中获取,使用方式可参考:国密加密->SDK使用->安装SDK