文档首页> MapReduce服务 MRS> 用户指南> 安全性说明> 安全公告> Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)公告
更新时间:2022-05-19 GMT+08:00
分享

Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)公告

漏洞描述

近日,华为云关注到Apache Log4j2存在一处远程代码执行漏洞(CVE-2021-44228),在引入Apache Log4j2处理日志时,会对用户输入的内容进行一些特殊的处理,攻击者可以构造特殊的请求,触发远程代码执行。目前POC已公开,风险较高。具体漏洞详情,请参见Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)

漏洞影响

在MapReduce服务(简称MRS)中Hive、Flink、Spark、Manager(Tomcat)、Tez、Impala、Ranger、Presto、Oozie、Storm、Loader等组件有使用Apache Log4j2。在默认情况下我们的集群不会对外网开放,如您通过绑定EIP等方式开放了公网访问权限,请确认输入源是否可信,同时建议您根据漏洞规避方案进行加固。

分享:

    相关文档

    相关产品

close