亿格云上报Apache高危漏洞 已获官方确认并修复

腾讯云安全运营中心监测到，Apache Log4j2 官方发布公告提示其在某些特殊场景下存在远程代码执行漏洞，漏洞编号CVE-2021-44832。该漏洞仅在攻击者拥有修改配置文件权限时才可远程执行任意代码，漏洞利用难度较大。 为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

腾讯云安全运营中心监测到， Apache APISIX官方发布安全通告，披露了Apache APISIX Dashboard存在未授权漏洞，漏洞编号CVE-2021-45232。可导致未授权访问等危害。 为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

近日，Apache Druid官方发布安全更新，修复了由阿里云安全发现的CVE-2021-25646 Apache Druid 远程代码执行漏洞。01漏洞描述 Apache Druid 是用Java编写的面向列的开源分布式数据存储，旨在快速获取大量事件数据，并在数据之上提供低延迟查询。由于Apache Druid 默认情况下缺乏授权认证，攻击者可直接构造恶意请求执行任意代码，控制服务器。阿里云应急响应中心提醒 Apache Druid 用户尽快采取安全措施阻止漏洞攻击。

2022年5月4日，Apache发布安全公告，修复了一个 Apache Jena中的XML外部实体注入漏洞。漏洞编号：CVE-2022-28890，漏洞威胁等级：中危。

2022年4月26日，Apache发布安全公告，修复了一个 Apache CouchDB中的远程权限提升漏洞。漏洞编号：CVE-2022-24706，漏洞威胁等级：高危，漏洞评分：7.5。

腾讯云容器安全服务团队通过犀引擎发现较多镜像受ApacheLog4j2远程代码执行漏洞影响，存在较高风险！为助力全网客户快速修复漏洞，免费向用户提供试用，登录控制台（https://console.cloud.tencent.com/tcss）即可快速体验。

2021年12月10日，国家信息安全漏洞共享平台（CNVD）收录了Apache Log4j2远程代码执行漏洞（CNVD-2021-95914）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。

4月13日，腾讯安全发布Apache Solr 多个高危安全漏洞的风险通告，其中编号为CVE-2021-27905的服务器端请求伪造漏洞为高危严重级别，攻击者可以传递特定参数，使服务端发起请求，成功利用该漏洞可造成内网信息探测。目前，该漏洞的利用POC已被公开，腾讯安全专家提醒用户尽快升级修复。在中国大陆地区，浙江、北京、上海、广东四省市位居前列，占比超过82%。

2022年4月20日，Apache发布安全公告，修复了一个 Apache APISIX中的信息泄露漏洞。漏洞编号： CVE-2022-29266，漏洞威胁等级：严重。

2022年4月12日，Apache发布安全公告，修复了一个Apache Struts2 中的远程代码执行漏洞。漏洞编号：CVE-2021-31805，漏洞威胁等级：高危，漏洞评分：8.5。