近日，Apache再次披露了一个Apache Log4j Dos攻击漏洞，攻击者利用漏洞可造成StackOverflowError 进程终止，也就是拒绝服务攻击。目前该漏洞POC（概念验证代码）未公开，但依然存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。网御星云漏洞扫描产品团队和基线核查产品团队在第一时间对这个漏洞进行了紧急响应。

Apache Log4j是美国阿帕奇（Apache）基金会的一款基于Java的开源日志记录工具。Apache Log4j2 组件存在拒绝服务漏洞的信息。该漏洞的综合评级为“高危”。

漏洞危害

以下产品及版本收到影响： 

2.0-beta9 <=Apache Log4j<= 2.16.0 （注：只有 log4j-core jar文件受此漏洞影响）

漏洞检测

网御星云漏洞扫描系统V6.0已于2021年12月19日紧急发布针对该漏洞的升级包，支持对该漏洞进行原理扫描，用户升级网御星云漏洞扫描系统漏洞库后即可对该漏洞进行扫描：

6070版本升级包为607000399，升级包下载地址：

https://leadsec.download.venuscloud.cn/

请网御星云漏洞扫描系统V6.0产品的用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快采取防范措施。

网御星云Web应用检测系统已于2021年12月19日紧急发布针对该漏洞的升级包，支持对该漏洞进行扫描，用户升级网御Web漏扫产品漏洞库后即可对该漏洞进行扫描：

升级包版本：7d_V3.0.0，升级包下载地址： https://leadsec.download.venuscloud.cn/

请网御星云Web应用检测系统产品的用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快采取防范措施。

基线核查

网御星云安全配置核查管理系统已于2021年12月19日紧急发布针对该漏洞的核查资源包，支持对该漏洞进行核查，用户升级网御星云安全配置核查管理系统资源包后即可对该漏洞进行核查：

请网御星云安全配置核查管理系统产品的用户尽快升级最新资源包，及时对该漏洞进行检测，以便尽快采取防范措施。

漏洞修复建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：    http://archive.apache.org/dist/logging/log4j/