时间:2021年12月16日 来源:博瑞凯德 关键词:Apache Log4j2远程代码执行漏洞风险对于司印的影响 浏览量:2516
技术公告号: KB0006563
发布日期: 2020/12/13
文档版本(修订) : REV 1
适用产品名称: ☒司印云打印
☒司印涉密版
适用产品版本: V2.7.0.0/V3.0.0.0/V3.1.0.0
近期,Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方已发布正式安全公告及版本,漏洞编号:CVE-2021-44228。只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。
影响版本:Apache log4j2 >= 2.0, <= 2.14.1
安全版本:Apache log4j2 2.15.0
关于此次漏洞信息:
https://github.com/apache/logging-log4j2
https://cloud.tencent.com/announce/detail/1692
Apache Log4j2远程执行漏洞风险对司印产品影响评估如下:
1.司印2.6.2.X以及以前版本不受影响。
2.司印2.7.X,3.X中Log4j虽然为受影响版本,但是由于司印运行的JDK版本较高,已经无法远程执行JNDI调用,漏洞也无法被利用,但是仍然建议升级log4j 到2.15.0及以后版本。
1.高版本JDK可以在一定程度上限制JNDI等漏洞利用方式(司印2.7.X,3.X版本运行JDK版本较高,无需升级)
关于JDK可以远程调用的版本(以下版本后,除非显示在代码中开参数,否则限制了JNDI攻击)
(1)JDK 6u141、7u131、8u121之后:
增加了com.sun.jndi.rmi.object.trustURLCodebase选项,默认为false,禁止RMI和CORBA协议使用远程codebase的选项,因此RMI和CORBA在以上的JDK版本上已经无法触发该漏洞,但依然可以通过指定URI为LDAP协议来进行JNDI注入攻击。
(2)JDK 6u211、7u201、8u191之后:
增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给禁了。
2.虽然司印运行JDK版本较高,Apache Log4j2远程代码执行漏洞无法被利用,但还是建议将Log4j2版本升级到2.15.0,后续会提供相应补丁。
关于Apache Log4j 2 被披露出存在严重代码执行漏洞,目前司印已经发布补丁SysPrint-Patch-KB0006563.exe,将Apache log4j2版本升级到2.15.0。
补丁链接此补丁司印/司印涉密版,V2.7.X/V3.X通用
下载链接:https://console.zbox.filez.com/l/g042Vn
提取码:lzrr