Apache Log4j日誌框架系統重大漏洞 駭客已開始行動
- 上版日期:2021-12-17
Apache Log4j日誌框架出現系統重大漏洞(CVE-2021-44228),駭客亦已發動大量攻擊,請系統管理者盡快更新至2.16.0版本。
事件說明
該漏洞於12月10日起開始備受關注,其相關的漏洞資訊及影響範圍也接連曝光,被資訊媒體稱為近十年來影響最大的漏洞之一 ,CVSS風險評分為滿分的10分,屬於最高風險漏洞。
據資安研究人員指出有數百萬款的應用程式使用log4j套件紀錄程式的活動日誌,其中諸多熱門網站如蘋果iCloud、微軟Azure、Amazon、Google等,以及Oracle、IBM、Red Hat、Vmware、Cisco、Splunk等產品推測皆受到影響。
影響範圍
- Apache Log4j 2.0-beta9至2.14.1
- Apache 開源套件Solr、Flink、Druid
- 內嵌log4j日誌框架之軟體
防護建議措施
由於該漏洞影響範圍過於廣泛, 建議盡速確認有對外開放的Apache服務並更新至log4j 2.16版本,更新連結:
https://logging.apache.org/log4j/2.x/download.html
參考資料
