Apache Log4j反序列化代码执行漏洞风险通告
发布时间 2019-12-24漏洞编号和级别
CVE编号:CVE-2019-17571,危险级别:高危,CVSS分值:官方未评定
影响版本
Apache Log4j 1.2.27及之前版本
漏洞概述
Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具。
Apache Log4j中包含一个 SocketServer 类,它容易受到不可信数据反序列化的攻击,当使用反序列化小工具监听不可信网络通信流以获取日志数据时,攻击者可以利用它远程执行任意代码。
漏洞验证
暂无POC/EXP。
修复建议
Apache官方已在新版本修复了该漏洞,Apache Log4j 1.2 版本官方已于2015年8月停止维护,建议升级到 2.8.2 或更高版本:http://logging.apache.org/log4j/2.x/index.html。
参考链接
https://www.openwall.com/lists/oss-security/2019/12/19/2
京公网安备11010802024551号