近日,Log4j 被曝高危安全漏洞(CVE-2021-44228),影响了众多公司和社区。龙蜥社区安全专家在感知到 Log4j 安全漏洞后,快速启动漏洞影响分析,最终确认——Anolis OS 默认搭载的log4j 版本不受 CVE-2021-44228 的影响,并已在龙蜥社区发布公告。
龙蜥开源社区始终将安全作为社区最优先的事务,审慎选包是我们一如既往的态度,为广大用户和开发者提供安全的操作系统,请广大用户和开发者们放心使用。
Anolis OS 默认搭载的 Log4j 版本详情如下:
安全建议
CVE-2021-44228 是一个高危安全漏洞,由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经过安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。如果您有单独使用 Log4j2 的场景,请排查您使用版本是否收到影响,如有影响建议尽快修复!
修复方法请参考安全建议:
https://help.aliyun.com/noticelist/articleid/1060971232.html
—— 完 ——
加入龙蜥社群
加入微信群:添加社区助理-龙蜥社区小龙(微信:openanolis_assis),备注【龙蜥】拉你入群;加入钉钉群:扫描下方钉钉群二维码。欢迎开发者/用户加入龙蜥社区(OpenAnolis)交流,共同推进龙蜥社区的发展,一起打造一个活跃的、健康的开源操作系统生态!
关于龙蜥社区
龙蜥社区(OpenAnolis)是由企事业单位、高等院校、科研单位、非营利性组织、个人等按照自愿、平等、开源、协作的基础上组成的非盈利性开源社区。龙蜥社区成立于 2020 年 9 月,旨在构建一个开源、中立、开放的Linux上游发行版社区及创新平台。
短期目标是开发龙蜥操作系统(Anolis OS)作为 CentOS 替代版,重新构建一个兼容国际 Linux 主流厂商发行版。中长期目标是探索打造一个面向未来的操作系统,建立统一的开源操作系统生态,孵化创新开源项目,繁荣开源生态。
龙蜥OS 8.4已发布,支持 x86_64 、ARM64、LoongArch 架构,完善适配 Intel、飞腾、海光、兆芯、鲲鹏、龙芯等芯片,并提供全栈国密支持。
欢迎下载:https://openanolis.cn/download
加入我们,一起打造面向未来的开源操作系统!
