近期，Apache Log4j 2 被披露出存在严重代码执行漏洞，目前官方已发布正式安全公告及版本，漏洞编号：CVE-2021-44228。只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控，即可能会受到漏洞攻击影响。

影响版本：Apache log4j2 >= 2.0, <= 2.14.1

安全版本：Apache log4j2 2.15.0

关于此次漏洞信息：

https://github.com/apache/logging-log4j2

https://cloud.tencent.com/announce/detail/1692

Apache Log4j2远程执行漏洞风险对司印产品影响评估如下：

总体而言：

1.司印2.6.2.X以及以前版本不受影响。

2.司印2.7.X，3.X中Log4j虽然为受影响版本，但是由于司印运行的JDK版本较高，已经无法远程执行JNDI调用，漏洞也无法被利用，但是仍然建议升级log4j  到2.15.0及以后版本。

1.高版本JDK可以在一定程度上限制JNDI等漏洞利用方式（司印2.7.X，3.X版本运行JDK版本较高，无需升级）

关于JDK可以远程调用的版本（以下版本后，除非显示在代码中开参数，否则限制了JNDI攻击）

（1）JDK 6u141、7u131、8u121之后：

增加了com.sun.jndi.rmi.object.trustURLCodebase选项，默认为false，禁止RMI和CORBA协议使用远程codebase的选项，因此RMI和CORBA在以上的JDK版本上已经无法触发该漏洞，但依然可以通过指定URI为LDAP协议来进行JNDI注入攻击。

 (2)JDK 6u211、7u201、8u191之后：

增加了com.sun.jndi.ldap.object.trustURLCodebase选项，默认为false，禁止LDAP协议使用远程codebase的选项，把LDAP协议的攻击途径也给禁了。

2.虽然司印运行JDK版本较高，Apache Log4j2远程代码执行漏洞无法被利用，但还是建议将Log4j2版本升级到2.15.0，后续会提供相应补丁。

关于Apache Log4j 2 被披露出存在严重代码执行漏洞，目前司印已经发布补丁SysPrint-Patch-KB0006563.exe，将Apache log4j2版本升级到2.15.0。

补丁链接此补丁司印/司印涉密版，V2.7.X/V3.X通用

下载链接：https://console.zbox.filez.com/l/g042Vn

提取码：lzrr