2022年1月4日，微云科技注意到业界公开了关于Apache Log4j2高危漏洞的技术细节和POC，该漏洞编号为CVE-2021-44832（https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832）。据官方描述，拥有修改日志配置文件权限的攻击者，可以构造恶意的配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用，从而可通过该 JNDI URI 远程执行任意代码。由于该漏洞要求攻击者拥有修改配置文件权限（通常需借助其他漏洞才可实现），非默认配置存在的问题，漏洞成功利用难度较大。

微云科技第一时间展开调查分析，确认产品使用了受影响的log4j版本，经过详细反复测试，确认该漏洞不会在微云的任何产品上触发。

鉴于目前Apache log4j2官方已发布更新版本，微云特发布针对此漏洞的安全补丁。

版本获取途径：

用户可以通过微云公开服务支持获取渠道：support@microcloudsys.com，400-106-6608或企业微信（二维码如下）获取补丁/更新版本。

微云安全应急响应服务：

如果您需要获取帮助、反馈微云产品的漏洞信息、获取微云产品安全事件响应服务及产品安全漏洞信息，请联系微云产品安全与应急响应团队，邮箱PSIRT@microcloudsys.com。