系统安全通知:关于近期Apache Log4j2执行漏洞

edi

近日,WebRAY安全服务部监测到Apache Log4j2存在远程代码执行漏洞(CVE-2021-44228),通过构造恶意的代码即可利用该漏洞,从而导致服务器权限丢失。

有不少客户存在这样的疑虑:我们使用的知行EDI系统————知行之桥是否使用了Apache Log4j2,是否存在安全隐患呢?

知行软件在这里统一回复大家:知行之桥没有直接使用或依赖任何Apache Log4j2以及相关组件

尽管如此,如果您安装的是Java版本的知行EDI软件,并借助Tomcat或其他Web应用服务器。我们强烈建议您针对此Web应用服务器排查,确认其是否使用、配置了log4j组件。

比如使用如下命令检查:

dpkg -l | grep liblog4j
dpkg -l | grep log4
find / -name log4j-core-*.jar
(命令仅供参考,请以实际情况为准)

如果发现已安装或使用,请第一时间将其升级到 2.15.0+ 的版本或禁用漏洞相关功能作为过渡(-Dlog4j2.formatMsgNoLookups=true)。
(参考:https://logging.apache.org/log4j/2.x/security.html)

如果您对知行的产品还有任何疑问请及时和我们联系,谢谢。

了解更多EDI信息,请您电话 137-2065-8862或邮件 sales@kasoftware.cn 联系我们。点击下方蓝色按钮,即可免费试用EDI软件。

注:文案部分图片及内容来源于网络,版权归原创作者所有,如有侵犯到您的权益,请您联系我们进行删除,给您带来困扰,我们深感抱歉。

标签: , , , , ,
文章分类 帮助文档, 常见问题和回答