一、漏洞說明
Apache Log4j2 安全漏洞,FineReport 産品不受影響。
漏洞說明如下表所示:
漏洞說明 | Log4j 受影響版本 |
|---|---|
Apache Log4j2 某些功能存在遞歸解析功能,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞2021年11月24日,阿裏雲安全團隊向 Apache 官方報告了 Apache Log4j2 遠程代碼執行漏洞,現已修複。 | 2.x<=2.14.1 |
二、産品影響
産品 | FineReport | 其他産品 |
|---|---|---|
Log4j 版本 | 1.2.17 | 若 FineReport 集成的其他産品涉及,可參考此鏈接進行處理:【處置手冊】Apache-Log4j2 遠程代碼執行漏洞。 |
是否受影響 | 否 | |
是否存在其他安全漏洞 | 該版本存在漏洞 CVE-2019-17571 但 FineReport 産品不涉及該漏洞,未使用 Log4j 的 SocketServer 類的功能。 | |
處理建議 | 無需關注。 |
三、插件影響
2.x 版本 Log4j2 涉及到的插件如下表所示:
插件 | 備注 |
|---|---|
Elasticsearch資料集 | 使用者若安裝了這些插件,可以先禁用,後續插件更新後,再更新插件為最新版即可。 |
Elasticsearch資料集-悅享版 | |
悅享版文件上傳下載 |
上一篇:11.0 小版本升級指南
