1. 漏洞说明
Apache Log4j2 安全漏洞,FineBI 产品不受影响。
漏洞说明如下表所示:
| 漏洞说明 | Log4j 受影响版本 |
|---|---|
| Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞 2021年11月24日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞,现已修复 | 2.x<=2.14.1 |
2. 产品影响
| 产品 | FineBI | 其他产品 |
|---|---|---|
| Log4j 版本 | 1.2.17 | 若 FineBI 集成的其他产品涉及,可参考此链接进行处理:【处置手册】Apache-Log4j2 远程代码执行漏洞 |
| 是否受影响 | 否 | |
| 是否存在其他安全漏洞 | 该版本存在漏洞 CVE-2019-17571 但 FineBI 产品不涉及该漏洞,未使用 Log4j 的 SocketServer 类的功能 | |
| 处理建议 | 无需关注 |
