2021-12-10 CVE-2021-44228 Log4j 远程代码执行漏洞

主题	CVE-2021-44228 Log4j 远程代码执行漏洞
公告发布日期	2021-12-01
影响产品	X
CVE ID	https://logging.apache.org/log4j/2.x/security.html

说明

Atlassian安全团队目前正在调查Log4j远程代码执行漏洞（CVE-2021-44228）的影响，并确定对我们的本地产品的任何可能影响。

到目前为止，我们认为我们的本地部署产品在其默认配置中不易受到攻击。但是，如果您修改了默认日志记录配置（log4j.properties）并启用JMS Appender功能，则可以在以下产品中远程执行代码：

我们可以通过检查Log4j配置文件来检查是否存在漏洞。如果找到包含配置项 org.apache.log4j.net.JMSAppender，那么它可能会受到影响

我们建议将它进行屏蔽。

产品	默认路径
Jira Server & Data Center	`/atlassian-jira/WEB-INF/classes/log4.properties`
Confluence Server & Data Center	`/confluence/WEB-INF/classes/log4j.properties`
Bamboo Server & Data Center	`/atlassian-bamboo/WEB-INF/classes/log4j.properties`
Fisheye / Crucible	`/log4j.xml`
Crowd	/crowd-webapp/WEB-INF/classes/log4j.properties /crowd-openidclient-webapp/WEB-INF/classes/log4j.properties /crowd-openidserver-webapp/WEB-INF/classes/log4j.properties

目前不受影响

BItubcket的日志组件使用的logback,具体可参见：http://logback.qos.ch/

如果不放心，可以将log4j的几个jar包替换掉

将安装目录下的app/WEB-INF/lib中的四个文件删除掉

将附件中的4个文件更新安装目录app/WEB-INF/lib下

	File	Modified
	Java Archive log4j-core-2.15.0.jar	Dec 11, 2021 by 红旗公
	Labels No labels Preview
	Java Archive log4j-over-slf4j-1.8.0-beta4.jar	Dec 11, 2021 by 红旗公
	Labels No labels Preview
	Java Archive log4j-to-slf4j-2.15.0.jar	Dec 11, 2021 by 红旗公
	Labels No labels Preview
	Java Archive log4j-api-2.15.0.jar	Dec 11, 2021 by 红旗公
	Labels No labels Preview

Download All