融安网络安全简报【2022年第01期】

　　Apache Log4j 是一种基于 Java 的日志工具，包含在各种开源库中，并直接嵌入到许多流行的软件应用程序中。Dragos表示“这种跨领域漏洞既与供应商无关，又会影响专有软件和开源软件，将使多个行业面临远程攻击，包括电力、水、食品和饮料、制造业，和运输”。

　　目前，多个APT组织已经利用该漏洞来传播各种类型的恶意软件。

　　西门子已确认其17 款产品受到 Apache Log4j漏洞影响，还有更多产品仍在分析中。这家德国工业巨头已开始发布补丁并提供缓解建议。确认受影响的产品包括 E-Car OC、EnergyIP、Geolus、Industrial Edge Management、Logo！Soft Comfort、Mendix、MindSphere、Operation Scheduler、Siguard DSA、Simatic WinCC、SiPass、Siveillance、Solid Edge 和 Spectrum Power。

　　施耐德电气也发布了一份公告，但仍在努力确定其哪些产品受到影响。同时，它共享了一般缓解措施以降低攻击风险。

　　链接如下：

　　https://download.schneider-electric.com/files?p_Doc_Ref=SESB-2021-347-01

　　截至目前，Log4j系列漏洞影响的全球态势仍在持续恶化之中，已曝出的漏洞包括

　　CVE-2021-44228 (CVSS评分:10.0)、CVE-2021-45046 (CVSS评分:9.0)、CVE-2021-45105 (CVSS评分:7.5)、CVE-2021-4104 (CVSS评分:8.1)、CVE-2021-44832(CVSS评分:6.6)。

　　受影响产品：

　　CVE-2021-44228：2.0-beta9 到 2.14.1 的所有版本

　　CVE-2021-45046：2.0-beta9 到 2.15.0 的所有版本，不包括 2.12.2

　　CVE-2021-45105：2.0-beta9 到 2.16.0 的所有版本，不包括 2.12.3

　　CVE-2021-4104：Apache Log4j 1.2

　　CVE-2021-44832：2.0-alpha7 到 2.17.0 的所有版本，不包括 2.3.2 和 2.12.4

　　修复建议

　　Apache 发布了新的 Log4j 版本 建议用户将 Apache Log4j2 升级到 2.17.1、2.12.4 和 2.3.2 或更高版本。

　　（来源：SecurityWeek）