HOT|[漏洞通報] RCE 0-day exploit found in log4j
2021-12-14 *人氣 390*
2021/12/10 全球發佈 log4j 重大漏洞,全景軟體受影響產品為 IDExpert 2、1zSign、SS6、 VA6,其他產品及版本不受影響,若您對此漏洞有任何疑問,請與我們聯繫。
受影響產品處置方式:
1.更新log4j版本2.16.0以上(Apache官方仍持續有新版本釋出, 目前最新版本2.17.0, 該版修補的DDOS漏洞不會影響全景的產品)
2.設定禁止使用 lookup 功能的參數。
3.緩解措施: 若環境允許,可使用防火牆限制受影響主機的對外連線,只開放連出的 IP 白名單(如: PushGateway),由於此攻擊可在任意輸入欄位放入連外指令,禁止主機連接未知IP可緩解此漏洞攻擊,在更新函式庫前建議先執行此限制。