openEuler 歐拉開源社區(qū) Log4j 高危安全漏洞修復(fù)完成，建議所有用戶升級(jí)

IT之家 12 月 12 日消息，據(jù) openEuler 發(fā)布，目前，歐拉開源社區(qū)已經(jīng)修復(fù) Log4j 高危安全漏洞 (CVE-2021-44228) 并發(fā)布安全公告。你可以通過(guò)更新 openEuler 20.03 LTS SP1 / SP2 Log4j 的安全補(bǔ)丁修復(fù)該漏洞。

歐拉開源社區(qū)安全委員會(huì)在第一時(shí)間感知到 Log4j 安全漏洞后，迅速啟動(dòng)漏洞影響分析。由于成功利用該漏洞可以遠(yuǎn)程執(zhí)行任意代碼，并且漏洞已有公開利用 POC，所以安全委員會(huì)將漏洞評(píng)估為高危漏洞，并迅速啟動(dòng)緊急修復(fù)流程。

歐拉開源社區(qū)連夜完成了受 Log4j 漏洞影響的軟件數(shù)量和系統(tǒng)版本，確認(rèn)受影響的 LTS 系統(tǒng)版本為 openEuler 20.03 LTS SP1 / SP2 。

經(jīng)過(guò)歐拉開源社區(qū)安全委員會(huì)和貢獻(xiàn)者的共同努力，12 月 11 日晚上 8 點(diǎn)順利完成受影響軟件的修復(fù)工作，為了保證你的系統(tǒng)安全，我們建議你盡快通過(guò)系統(tǒng)更新升級(jí)到最新的 Log4j 版本。

歐拉開源社區(qū)始終將安全響應(yīng)作為社區(qū)最優(yōu)先的事務(wù)，未來(lái)我們會(huì)一如既往的為大家提供及時(shí)的安全響應(yīng)服務(wù)。

修復(fù)進(jìn)展時(shí)間線

12 月 10 日 09:47 —— 漏洞感知：Log4j 軟件倉(cāng)收到漏洞 issue CVE-2021-44228

12 月 10 日 15:22 —— 漏洞排查：完成受 Log4j 影響的軟件數(shù)量和系統(tǒng)版本

12 月 10 日 18:22 —— 初步修復(fù)方案：初步確定修復(fù)方案為升級(jí) Log4j 版本，正在做 SPEC 文件適配和編譯錯(cuò)誤處理。

12 月 10 日 22:16 —— 最終修復(fù)方案：升級(jí) Log4j 過(guò)程中發(fā)現(xiàn)新版本編譯可能涉及 Maven 和 Java 版本變更，需要解決的問(wèn)題較多。而 Logo4j 上游社區(qū)已經(jīng)提供補(bǔ)丁修復(fù)方式，已經(jīng)完成適配，初步編譯成功，確定修復(fù)方案改為補(bǔ)丁修復(fù)。

12 月 11 日 14:46 —— 補(bǔ)丁驗(yàn)證：POC 代碼驗(yàn)證通過(guò)，正在向正式分支合入。

12 月 11 日 20:08 —— 補(bǔ)丁發(fā)布：openEuler 20.03 LTS SP1 / SP2 Log4j 安全補(bǔ)丁已經(jīng)發(fā)布。

12 月 11 日 22:47 —— 安全公告發(fā)布：Log4j 安全公告已經(jīng)完成發(fā)布，點(diǎn)此查看。

相關(guān)閱讀：

《嚴(yán)重危險(xiǎn)級(jí)別！Apache Log4j 存在遠(yuǎn)程代碼執(zhí)行漏洞，Java 日志框架影響范圍極大》

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。