发布编号：TACERT-ANA-2021122009125757

发布时间：2021-12-20 09:12:57

事故类型：ANA-漏洞预警

发现时间：2021-12-18 12:15:57

影响等级：中

 

[主旨说明:]

【漏洞预警】Apache Log4j存在更新修补程式后仍存在漏洞情况(新漏洞编号为CVE-2021-45046)，允许攻击者远端执行任意程式码或洩露资讯，请尽速确认并进行更新

 

[内容说明:]

转发 国家资安资讯分享与分析中心 NISAC-ANA-202112-0801

Apache Log4j是一个Java日志记录工具，因官方证实前次漏洞(CVE-2021-44228)之修补程式(2.15.0版)未完整修补漏洞(此漏洞警讯为技服中心于12/13发布之NCCST-ANA-2021-0000612警讯)，导致更新后之Log4j仍存在安全漏洞(新漏洞编号为CVE-2021-45046)，攻击者可借由发送特制JNDI lookup讯息，利用漏洞进而远端执行任意程式码或洩露资讯。

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

 

[影响平台:]

Apache Log4j 2.0-beta9至215.0(含)版本，但不含2.12.2版本

 

[建议措施:]

目前Apache Log4j官方网页已针对此漏洞释出更新程式，请各机关联络设备维护厂商进行版本确认并更新(Java 7使用者更新至Log4j 2.12.2版本，Java 8使用者更新至Log4j 2.16.0版本)：

https://logging.apache.org/log4j/2.x/security.html

 

[参考资料:]

1. https://logging.apache.org/log4j/2.x/security.html

2. https://nvd.nist.gov/vuln/detail/CVE-2021-45046

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw