尊敬的致远互联用户:
根据国家信息安全漏洞共享平台(CNVD)(安全公告编号:CNTA-2021-0032)及其他安全厂商的通告,Apache Log4j2 存在远程代码执行漏洞,致远互联安全团队第一时间针对漏洞进行紧急修复。现漏洞正式修复方案已经确认,并已通过测试验证,可以根据产品版本,按照以下方案进行漏洞修复。
具体说明如下:
1. 【漏洞说明】
Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本,通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。
2. 【漏洞级别】
CNVD对该漏洞的综合评级为“高危”。
3. 【影响说明】
此次漏洞影响涉及致远互联6.1(含)至8.1(含)版本之间的A6、A8、G6产品。
4. 【漏洞修复方案】
1) 联系致远互联客户经理或服务顾问获取安全补丁;
2) 请登录https://service.seeyon.com/,进入【安全补丁】-【V5】-《Log4j2远程代码执行漏洞补丁》按照说明更新。
3) 直接访问下面地址下载补丁包,并进行补丁更新
本补丁包不影响系统功能,不涉及客开,不需要合并客开代码,可以按照补丁部署说明进行更新。
5. 【特别说明】
此漏洞危害较大,为避免损失,请您收到此通知后,尽快安排补丁更新。
北京致远互联软件股份有限公司
2021年12月13日
