<legend id="h4sia"></legend><samp id="h4sia"></samp>
<sup id="h4sia"></sup>
<mark id="h4sia"><del id="h4sia"></del></mark>

<p id="h4sia"><td id="h4sia"></td></p><track id="h4sia"></track>

<delect id="h4sia"></delect>
  • <input id="h4sia"><address id="h4sia"></address>

    <menuitem id="h4sia"></menuitem>

    1. <blockquote id="h4sia"><rt id="h4sia"></rt></blockquote>
      <wbr id="h4sia">
    2. <meter id="h4sia"></meter>

      <th id="h4sia"><center id="h4sia"><delect id="h4sia"></delect></center></th>
    3. <dl id="h4sia"></dl>
    4. <rp id="h4sia"><option id="h4sia"></option></rp>

        Skip to end of metadata
        Go to start of metadata

        主题

        CVE-2021-44228 Log4j 远程代码执行漏洞

        公告发布日期

         2021-12-01

        影响产品

        X

        CVE ID

        https://logging.apache.org/log4j/2.x/security.html


        说明

        Atlassian安全团队目前正在调查Log4j远程代码执行漏洞(CVE-2021-44228)的影响,并确定对我们的本地产品的任何可能影响。

        到目前为止,我们认为我们的本地部署产品在其默认配置中不易受到攻击。但是,如果您修改了默认日志记录配置(log4j.properties)并启用JMS Appender功能,则可以在以下产品中远程执行代码:

        • Jira Server & Data Center

        • Confluence Server & Data Center

        • Bamboo Server & Data Center

        • Crowd Server & Data Center
        • Fisheye

        • Crucible

        我们可以通过检查Log4j配置文件来检查是否存在漏洞。如果找到包含配置项 org.apache.log4j.net.JMSAppender,那么它可能会受到影响

        我们建议将它进行屏蔽。

        临时防范

        • 增加修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
        • 修改配置 log4j2.formatMsgNoLookups=True
        • 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true


        各产品log4j配置文件

        产品

        默认路径

        Jira Server & Data Center

        /atlassian-jira/WEB-INF/classes/log4.properties

        Confluence Server & Data Center

        /confluence/WEB-INF/classes/log4j.properties

        Bamboo Server & Data Center

        /atlassian-bamboo/WEB-INF/classes/log4j.properties

        Fisheye / Crucible

        /log4j.xml

        Crowd
        /crowd-webapp/WEB-INF/classes/log4j.properties
        /crowd-openidclient-webapp/WEB-INF/classes/log4j.properties
        /crowd-openidserver-webapp/WEB-INF/classes/log4j.properties


        Bitbucket

        目前不受影响

        BItubcket的日志组件使用的logback,具体可参见:http://logback.qos.ch/

        如果不放心,可以将log4j的几个jar包替换掉

        • 步骤一

        将安装目录下的app/WEB-INF/lib中的四个文件删除掉

        • 步骤二

        将附件中的4个文件更新安装目录app/WEB-INF/lib下


          File Modified
        Java Archive log4j-core-2.15.0.jar Dec 11, 2021 by 红旗公
        Java Archive log4j-over-slf4j-1.8.0-beta4.jar Dec 11, 2021 by 红旗公
        Java Archive log4j-to-slf4j-2.15.0.jar Dec 11, 2021 by 红旗公
        Java Archive log4j-api-2.15.0.jar Dec 11, 2021 by 红旗公


        https://confluence.atlassian.com/kb/faq-for-cve-2021-44228-1103069406.html




        • No labels