歐拉開源社群Log4j高危安全漏洞修複完成

IT之家 12 月 12 日消息，據 openEuler 釋出，目前，歐拉開源社群已經修複 Log4j 高危安全漏洞 (CVE-2021-44228) 并釋出安全公告。你可以通過更新 openEuler 20.03 LTS SP1 / SP2 Log4j 的安全更新檔修複該漏洞。

歐拉開源社群安全委員會在第一時間感覺到 Log4j 安全漏洞後，迅速啟動漏洞影響分析。由于成功利用該漏洞可以遠端執行任意代碼，并且漏洞已有公開利用 POC，是以安全委員會将漏洞評估為高危漏洞，并迅速啟動緊急修複流程。

歐拉開源社群連夜完成了受 Log4j 漏洞影響的軟體數量和系統版本，确認受影響的 LTS 系統版本為 openEuler 20.03 LTS SP1 / SP2 。

經過歐拉開源社群安全委員會和貢獻者的共同努力，12 月 11 日晚上 8 點順利完成受影響軟體的修複工作，為了保證你的系統安全，我們建議你盡快通過系統更新更新到最新的 Log4j 版本。

歐拉開源社群始終将安全響應作為社群最優先的事務，未來我們會一如既往的為大家提供及時的安全響應服務。

修複進展時間線

12 月 10 日 09:47 —— 漏洞感覺：Log4j 軟體倉收到漏洞 issue CVE-2021-44228

12 月 10 日 15:22 —— 漏洞排查：完成受 Log4j 影響的軟體數量和系統版本

12 月 10 日 18:22 —— 初步修複方案：初步确定修複方案為更新 Log4j 版本，正在做 SPEC 檔案适配和編譯錯誤處理。

12 月 10 日 22:16 —— 最終修複方案：更新 Log4j 過程中發現新版本編譯可能涉及 Maven 和 Java 版本變更，需要解決的問題較多。而 Logo4j 上遊社群已經提供更新檔修複方式，已經完成适配，初步編譯成功，确定修複方案改為更新檔修複。

12 月 11 日 14:46 —— 更新檔驗證：POC 代碼驗證通過，正在向正式分支合入。

12 月 11 日 20:08 —— 更新檔釋出：openEuler 20.03 LTS SP1 / SP2 Log4j 安全更新檔已經釋出。

12 月 11 日 22:47 —— 安全公告釋出：Log4j 安全公告已經完成釋出，點此檢視。

相關閱讀：

《嚴重危險級别！Apache Log4j 存在遠端代碼執行漏洞，Java 日志架構影響範圍極大》