首页 > 新闻资讯 > 技术公告

KB0006563-Apache Log4j2远程代码执行漏洞风险对于司印的影响-V1&V2

时间:2021年12月16日     来源:博瑞凯德    关键词:Apache Log4j2远程代码执行漏洞风险对于司印的影响     浏览量:2516

技术公告号:          KB0006563    

发布日期:             2020/12/13    

文档版本(修订) :    REV 1    

适用产品名称:       ☒司印云打印            

                                ☒司印涉密版    

适用产品版本:       V2.7.0.0/V3.0.0.0/V3.1.0.0   


问题一、描述

近期,Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方已发布正式安全公告及版本,漏洞编号:CVE-2021-44228。只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。

影响版本:Apache log4j2 >= 2.0, <= 2.14.1

安全版本:Apache log4j2 2.15.0


关于此次漏洞信息:

https://github.com/apache/logging-log4j2

https://cloud.tencent.com/announce/detail/1692


影响范围

Apache Log4j2远程执行漏洞风险对司印产品影响评估如下:

图片

总体而言:

1.司印2.6.2.X以及以前版本不受影响。

2.司印2.7.X,3.X中Log4j虽然为受影响版本,但是由于司印运行的JDK版本较高,已经无法远程执行JNDI调用,漏洞也无法被利用,但是仍然建议升级log4j  到2.15.0及以后版本。


解决方法

1.高版本JDK可以在一定程度上限制JNDI等漏洞利用方式(司印2.7.X,3.X版本运行JDK版本较高,无需升级)


关于JDK可以远程调用的版本(以下版本后,除非显示在代码中开参数,否则限制了JNDI攻击)

(1)JDK 6u141、7u131、8u121之后:

增加了com.sun.jndi.rmi.object.trustURLCodebase选项,默认为false,禁止RMI和CORBA协议使用远程codebase的选项,因此RMI和CORBA在以上的JDK版本上已经无法触发该漏洞,但依然可以通过指定URI为LDAP协议来进行JNDI注入攻击。


 (2)JDK 6u211、7u201、8u191之后:

增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给禁了。


2.虽然司印运行JDK版本较高,Apache Log4j2远程代码执行漏洞无法被利用,但还是建议将Log4j2版本升级到2.15.0,后续会提供相应补丁。



问题二、描述

关于Apache Log4j 2 被披露出存在严重代码执行漏洞,目前司印已经发布补丁SysPrint-Patch-KB0006563.exe,将Apache log4j2版本升级到2.15.0。

补丁链接此补丁司印/司印涉密版,V2.7.X/V3.X通用

下载链接:https://console.zbox.filez.com/l/g042Vn

提取码:lzrr

图片

END





首页 电话 联系我们