关键词:
最近工信部也发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》
https://www.miit.gov.cn/jgsj/waj/gzdt/art/2021/art_d0cd32999d9941209ba9358a2e62638c.html
全文如下:
阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
工业和信息化部网络安全管理局将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全。
另外,据工业和信息化部网络安全管理局通报称,阿里云是工信部网络安全威胁信息共享平台合作单位,因发现 Apache Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
经研究,现暂停阿里云公司作为上述合作单位6个月, 暂停期满后,根据阿里云公司整改情况,再研究恢复其上述合作单位。
参考:https://m.21jingji.com/timestream/html/%7BU9Pjf0FaKEU=%7D
近期热文推荐:
1.1,000+ 道 Java面试题及答案整理(2021最新版)
4.Spring Boot 2.6 正式发布,一大波新特性。。
觉得不错,别忘了随手点赞+转发哦!
阿里云因发现log4j2核弹级漏洞,未及时上报,被工信部处罚。。
...源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台... 查看详情
阿里云因发现log4j2核弹级漏洞,未及时上报,被工信部处罚。。
...源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台... 查看详情
阿里云因发现log4j2漏洞未及时上报,被工信部处罚!(代码片段)
...了,纷纷启动自家软件的漏洞修复。今天早上,阿里云被爆出作为工信部网络安全威胁信息共享合作平台,阿里云在发现该漏洞时并未及时向工信部汇报,所以被暂停合作6个月。在暂停期满后,根据阿里云的... 查看详情
阿里云因未及时报告严重漏洞被处罚
参考技术A阿里云因未及时报告严重漏洞被处罚 阿里云因未及时报告严重漏洞被处罚,阿里云在中国云市场上占据着重要地位,阿里云在2021年第三季度以38.3%的份额领先中国大陆市场,阿里云因未及时报告严重漏洞被处罚。... 查看详情
网传的spring大漏洞(代码片段)
...到朋友提醒说可能发这个会违规(原因可参考:阿里云因发现Log4j2核弹级漏洞但未及时上报,被工信部处罚),所以就删除了。经过一天的时间,似乎这个事情变得有点看不懂了。所以下面聊聊这个网传的... 查看详情
网传的spring大漏洞(代码片段)
...到朋友提醒说可能发这个会违规(原因可参考:阿里云因发现Log4j2核弹级漏洞但未及时上报,被工信部处罚),所以就删除了。经过一天的时间,似乎这个事情变得有点看不懂了。所以下面聊聊这个网传的... 查看详情
导致阿里云被暂停合作的漏洞究竟是什么?
因发现安全漏洞后的处理问题,近日阿里云引发了一波舆论。据媒体报道,11月24日,阿里云安全团队向美国开源社区Apache(阿帕奇)报告了其所开发的组件存在安全漏洞。12月22日,因发现ApacheLog4j2组件严... 查看详情
阿里又出事了!发现网络安全漏洞,不上报工信部,却通知外国机构
参考技术A突发!工信部宣布暂停与阿里云信息共享平台合作。这是怎么回事?阿里云犯了什么事?要了解这些疑问,首先我们要知道阿帕奇Log4j2组件。据悉,阿帕奇Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统... 查看详情
分析并复现apache核弹级漏洞,利用log4j2使目标服务器执行任意代码(代码片段)
...程代码执行漏洞,但更新后的ApacheLog4j2.15.0-rc1版本被发现仍存在漏洞绕过,多家安全应急响应团队发布二次漏洞预警。12月10日凌晨2点,Apache官方紧急发布log4j-2.15.0-rc2版本,以修复Apachelog4j-2.15.0-rc1版本远程代码执... 查看详情
springboot项目解决log4j2核弹漏洞(代码片段)
...影响范围ApacheLog4j2.x<=2.15.1-rc1。该漏洞于11月下旬由阿里云安全团队的chenzhaojun最先上报。参考 查看详情
终于!springboot发布最新版,一招解决log4j2核弹级漏洞!
点击关注公众号,Java干货及时送达ApacheLog4j2漏洞最新进展及解决方案:《卧槽!Log4j2再爆雷,Log4jv2.17.0横空出世。。。》上一篇:重磅!SpringBoot2.6.1正式发布SpringBoot2.6.2发布关注公众号Java技术栈的小伙伴... 查看详情
终于!springboot发布最新版,一招解决log4j2核弹级漏洞!
点击关注公众号,Java干货及时送达ApacheLog4j2漏洞最新进展及解决方案:《卧槽!Log4j2再爆雷,Log4jv2.17.0横空出世。。。》上一篇:重磅!SpringBoot2.6.1正式发布SpringBoot2.6.2发布关注公众号Java技术栈的小伙伴... 查看详情
腾讯安全刚刚给出了log4j2核弹级漏洞线上修复方案!紧急修复
参考技术A2月9日晚,ApacheLog4j2反序列化远程代码执行漏洞细节已被公开,ApacheLog4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。ApacheLog4j2... 查看详情
紧急!log4j2再再爆雷:刚升级,又连爆“核弹级”远程数据泄露!v2.17.0横空出世。。。...(代码片段)
...公司Praetorian在博客宣布,他们在ApacheLog4j2.15.0版本又发现了一个远程数据泄露的漏洞,可用于从受影响的服务器下载数据。几乎只要是Java程序员,几乎都会用到ApacheLog4j这个组件。就在上周的时候Log4j爆出了一个史诗... 查看详情
核弹级漏洞log4shell席卷全球!危及苹果腾讯百度网易,修改iphone名称就可触发...
...竟是怎么一回事?Java程序员都懵了这个漏洞最早是由阿里员工发现。11月24日,阿里云安全团队向Apache报告了ApacheLog4j2远程代码执行(RCE)漏洞。12月9日,更多利用细节被公开。Apache,是当前全球最流行的跨平... 查看详情
核弹级漏洞,把log4j扒给你看!(代码片段)
...入网络安全史册上的漏洞,到底是怎么一回事!log4j2不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。通过日志,可以帮助我们了解程序的运行情况,排查程序运行中出现的问题。... 查看详情
log4j曝核弹级漏洞,一行配置修复,速改(代码片段)
...往的重复着每天的搬砖日常,突然又收到了公众号【阿里云应急响应】紧急更新通告;为啥说又呢?因为在10个小时之前,已经推送过一次了;本来以为只是再次提醒一下,仔细一看,发现是在短时间... 查看详情
核弹级漏洞,我把log4j底裤都给扒了(代码片段)
...入网络安全史册上的漏洞,到底是怎么一回事!**log4j2不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。通过日志,可以帮助我们了解程序的运行情况,排查程序运行中出现的问题... 查看详情