描述
本安全警报针对CVE-2021-44228,这是Apache Log4j中的一个远程代码执行漏洞。该漏洞无需认证即可远程利用,即可能通过网络被利用,无需用户名和密码。同时还涉及CVE-2021-45046,这是Apache对CVE-2021-44228的不完全修复所产生的问题。
鉴于该漏洞的严重性以及多个网站上已公开利用代码,Oracle强烈建议客户尽快应用本安全警报提供的更新。
受影响产品和补丁信息
本安全警报解决的安全漏洞影响以下所列产品。产品区域显示在“补丁可用文档”列中。 请点击下方“补丁可用文档”列中的链接,以获取补丁可用信息和安装说明的文档。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Apache Log4j, 版本2.0-2.15.0 | My Oracle Support文档 |
安全警报支持的产品和版本
通过安全警报程序发布的补丁仅适用于处于终身支持政策的Premier Support或Extended Support阶段的产品版本。Oracle建议客户规划产品升级,以确保当前运行的版本能够获得通过安全警报程序发布的补丁。
未处于Premier Support或Extended Support的产品版本不会针对本安全警报解决的漏洞进行测试。但是,受影响版本的早期版本很可能也受这些漏洞影响。因此,Oracle建议客户升级到受支持的版本。
数据库、Fusion Middleware、Oracle Enterprise Manager产品按照My Oracle Support文档209768.1中解释的软件错误修正支持政策进行修补。请查看技术支持政策以获取有关支持政策和支持阶段的进一步指南。
参考资料
- Oracle关键补丁更新、安全警报和公告
- Oracle关键补丁更新和安全警报 - 常见问题
- 风险矩阵定义
- Oracle对通用漏洞评分系统(CVSS)的使用
- 风险矩阵的英文文本版本
- 风险矩阵的CVRF XML版本
- CVE到公告/警报的映射
- Oracle终身支持政策
- JEP 290参考阻止列表过滤器
风险矩阵内容
风险矩阵仅列出与本公告相关补丁新解决的安全漏洞。之前安全补丁的风险矩阵可以在之前的关键补丁更新公告和警报中找到。本文档中提供的风险矩阵的英文文本版本在此处。
安全漏洞使用CVSS 3.1版本进行评分(有关Oracle如何应用CVSS 3.1版本的解释,请参见Oracle CVSS评分)。
Oracle对安全警报解决的每个安全漏洞进行分析。Oracle不会向客户披露此安全分析的详细信息,但生成的风险矩阵和相关文档提供了有关漏洞类型、利用所需条件以及成功利用的潜在影响的信息。Oracle提供这些信息的部分原因是客户可以根据其产品使用的具体情况自行进行风险分析。有关更多信息,请参见Oracle漏洞披露政策。
Oracle在产品的风险矩阵下方列出解决第三方组件中漏洞的更新,这些漏洞在其各自Oracle产品中包含的上下文中不可利用。
风险矩阵中的协议意味着其所有安全变体(如果适用)也受到影响。例如,如果HTTP被列为受影响协议,则意味着HTTPS(如果适用)也受到影响。协议的安全变体仅在它是唯一受影响的变体时才会在风险矩阵中列出,例如,对于SSL和TLS中的漏洞,通常会列出HTTPS。
致谢声明
以下个人或组织向Oracle报告了本安全警报解决的安全漏洞:本安全警报中未列出。
修改历史
| 日期 | 说明 |
|---|---|
| 2021年12月17日 | 修订版3。更新了CVE-2021-45046的CVSS评分 |
| 2021年12月15日 | 修订版2。添加了CVE-2021-45046 |
| 2021年12月10日 | 修订版1。初始发布 |
第三方组件风险矩阵
本安全警报包含2个针对第三方组件的新安全补丁。这两个漏洞都可能无需认证即可远程利用,即可能通过网络被利用,无需用户凭据。此风险矩阵的英文文本形式可在此处找到。
| CVE编号 | 产品 | 组件 | 协议 | 远程利用无需认证? | CVSS 3.1风险评分 | 受影响的支持版本 | 备注 |
|---|---|---|---|---|---|---|---|
| CVE-2021-44228 | Apache Log4j | 全部 | 多种 | 是 | 10.0 | 网络 | 低 |
| CVE-2021-45046 | Apache Log4j | 全部 | 多种 | 是 | 9.0 | 网络 | 高 |