會員評等: 5 / 5
# 2021-12-16 08:50 更新
全球已爆發第二波災情:Second Log4j vulnerability discovered, patch already released,請更新至 Log4j 2.16.0 版本後,有負責委外開發系統的同仁務必聯絡廠商確認有無使此套件及更新。
# 原始內容
Apache Log4j 是一個 Java 日誌記錄工具,研究人員發現 Log4j 存在安全漏洞(CVE-2021-44228),攻擊者可藉由發送特製 Log 訊息,利用漏洞進而遠端執行任意程式碼,近期已造成全球嚴重災情,相關新聞如下:
行政院國家資通安全會報技術服務中心已緊急通報各機關有使用到的此日誌記錄工具,務必儘快更新至 Log4j 2.16.0 版本後(註:2021-12-16 更新),請參考 Apache 官方說明。
綜計組圖資科資安人員提醒:請所內同仁確認您的開發程式、委外服務或對外平台,有無使用到此套件,可以參考 https://github.com/NCSC-NL/log4shell/blob/main/software/README.md 去比對;另外,如不確定委外系統是否有使用,也請將此漏洞新聞通知委外廠商,並回報系統承辦人有無漏洞及更新處理措施。
綜計組圖資科
資安人員
