Log4Shell: Log4j远程代码执行漏洞

by Canonical on 4 January 2022

在 Apache Log4j 2 中发现了一个影响很大的漏洞，其是一个广泛部署且被许多 Java 应用程序用于改善日志记录的软件组件。攻击者可以控制日志消息或其参数以导致应用程序执行任意代码。在 Ubuntu 中，Apache Log4j 2 打包在 apache-log4j 2 软件源包下—​​—现在已经打了修复补丁来解决上述漏洞，详情见 USN-5192-1（12 月 14 日）和 USN-5197-1（12 月 15 日）。此漏洞已分配为 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105。

要应用全部可用的补丁到你的Ubuntu系统，可以通过 ua 命令来进行操作：

$ sudo ua fix CVE-2021-44228
$ sudo ua fix CVE-2021-45046
$ sudo ua fix CVE-2021-45105

注意 Apache Log4j 2 包的使用情况

Apache Log4j 2 包的广泛使用以及 Java 平台的打包惯例使得解决该漏洞（整个安全行业）变得非常重要。原因是该软件不仅作为打包组件出现在 Ubuntu 中，而且该软件的单独副本也经常直接捆绑在流行的应用程序中。特别地，后者使得特定应用程序或系统是否易受攻击的任务变得非常困难。IT 团队必须单独检查每个应用程序，以通过“拆分”应用程序或使用软件物料清单和清单来确定应用程序是否存在漏洞。仅更新此软件组件的 Ubuntu 打包版本可能不足以确保修复所有使用 Apache Log4j 2 的应用程序。

推荐

我们建议我们的用户和客户从 Canonical 获取最新的软件安全更新，并验证他们使用的任何第三方 没有捆绑 log4j 包的Java 软件。要了解有关哪些 Canonical 受到影响的产品的更多信息，请访问此持续更新的页面。

更多关于此漏洞的信息

• 关于Log4Shell的Ubuntu安全知识库
• Ubuntu 订阅 KB文章：标准和高级订阅用户的支持 和 基础订阅用户的支持
• USN-5192-1
• USN-5197-1
• Apache Log4j 安全页面