openEuler欧拉开源社区Log4j高危安全漏洞修复完成,建议所有用户升级安全公告。您可以通过更新openEuler20.03LTSSP1/SP2Log4j的安全补丁修复该漏洞。Euler开源社区安全委员会在第一时间发现Log4j安全漏洞后,立即启动了漏洞影响分析。由于该漏洞可被成功利用远程执行任意代码,且该漏洞已被公开利用POC,安全委员会评估该漏洞为高危漏洞,并迅速启动紧急修复流程。Euler开源社区连夜完成了受Log4j漏洞影响的软件和系统版本数量统计,确认受影响的LTS系统版本为openEuler20.03LTSSP1/SP2。经过欧拉开源社区安全委员会和贡献者的共同努力,受影响软件的修复工作已于12月11日晚8点顺利完成。为保障您的系统安全,建议您升级至最新的Log4j尽快通过系统版本更新。Euler开源社区始终将安全响应作为社区的重中之重。未来,我们将继续为您提供及时的安全响应服务。修复进度时间线12月10日09:47——漏洞认知:Log4j软件仓库收到漏洞问题CVE-2021-44228112月10日15:22——漏洞排查:完成Log4j影响的软件数量和系统版本1218:2210月10日——初步修复方案:初步修复方案是升级Log4j版本,SPEC文件适配和编译错误处理。December10,22:16——Finalfix:在升级Log4j的过程中,发现新版本的编译可能涉及到Maven和Java的版本变更,还有很多问题需要解决。不过Logo4j上游社区已经提供了补丁修复方法,适配完成,初步编译成功,确定修复方案为补丁修复。12月11日14:46——补丁验证:POC代码验证通过,正在合并到官方分支。12月11日20:08补丁发布:openEuler20.03LTSSP1/SP2Log4j安全补丁发布。12/1122:47-发布安全公告:Log4j安全公告已经发布,点击此处查看。相关阅读:《严重危险级别!Apache Log4j 存在远程代码执行漏洞,Java 日志框架影响范围极大》
