发布日期：2019-12-19
更新日期：2019-12-26

受影响系统：

Apache Group Log4j <= 1.2.17

不受影响系统：

Apache Group Log4j >= 2.8.2

描述：

---

CVE(CAN) ID: CVE-2019-17571

Log4j是美国阿帕奇（Apache）软件基金会的一款基于Java的开源日志记录工具。

Apache Log4j <= 1.2.17版本，其中一个SocketServer类，在未经验证的情况下，该SocketServe类很容易接受序列化的日志事件并对其进行反序列化，在结合反序列化工具使用时，可以利用该类远程执行任意代码。

<*来源：Apache
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

*可通过禁止Log4j中SocketServer类所启用的socket端口对公网开放来进行防护。

厂商补丁：

Apache Group
------------
目前官方已在Apache Log4j 2.8.2版本中修复了该漏洞，请受影响的用户升级至2.8.2 或更高的版本进行防护，下载链接：

https://logging.apache.org/log4j/2.x/download.html

浏览次数：2812
严重程度：0（网友投票）