安全公告 - 关于Apache Log4j2漏洞的声明

1.安全公告


2021年12月9日,荣耀注意到Apache官网披露了远程代码执行漏洞CVE-2021-44228,后续又披露了CVE-2021-45046和CVE-2021-45105漏洞。

这些漏洞可被远程利用,当用户在服务或系统上输入的数据被记录到日志时,通过精心构造输入的数据可以在服务器端执行任意代码。

荣耀SRC团队非常重视这些问题,并在尽一切努力修复这些漏洞。我们优先升级至Apache Log4j 2.17.0以彻底解决问题,同时部署了防火墙、WAF等防护措施,以降低漏洞影响。

本公告信息基于荣耀迄今为止的调查结果发布,可能会发生变化,荣耀SRC会随时更新此安全公告,请持续关注。



2.更新记录


2021-12-24 V1.1 增加对CVE-2021-45046/CVE-2021-45105漏洞的说明

2021-12-10 V1.0 首稿



3.荣耀应急响应团队


荣耀一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。

获取荣耀产品漏洞信息,请访问https://www.hihonor.com/cn/security/



4.参考链接