跳到主要內容區塊

國立臺灣大學計算機及資訊網路中心

重要資安警訊

:::
:::
Apache Log4j日誌框架系統重大漏洞 駭客已開始行動
  • 上版日期:2021-12-17

Apache Log4j日誌框架出現系統重大漏洞(CVE-2021-44228),駭客亦已發動大量攻擊,請系統管理者盡快更新至2.16.0版本。

事件說明

該漏洞於12月10日起開始備受關注,其相關的漏洞資訊及影響範圍也接連曝光,被資訊媒體稱為近十年來影響最大的漏洞之一 ,CVSS風險評分為滿分的10分,屬於最高風險漏洞。

據資安研究人員指出有數百萬款的應用程式使用log4j套件紀錄程式的活動日誌,其中諸多熱門網站如蘋果iCloud、微軟Azure、Amazon、Google等,以及Oracle、IBM、Red Hat、Vmware、Cisco、Splunk等產品推測皆受到影響。

影響範圍

  1. Apache Log4j 2.0-beta9至2.14.1
  2. Apache 開源套件Solr、Flink、Druid
  3. 內嵌log4j日誌框架之軟體

防護建議措施

由於該漏洞影響範圍過於廣泛, 建議盡速確認有對外開放的Apache服務並更新至log4j 2.16版本,更新連結:
https://logging.apache.org/log4j/2.x/download.html

參考資料

  1. https://iter01.com/647457.html
  2. https://www.ithome.com.tw/news/148337
  3. https://www.ithome.com.tw/news/148391
  4. https://cloud.google.com/blog/products/identity-security/recommendations-for-apache-log4j2-vulnerability
  5. https://www.twcert.org.tw/tw/cp-104-5385-c385e-1.html