华为云服务器一键式重置密码插件漏洞公告_云淘科技

漏洞公告

华为云弹性云服务器提供了重置密码功能,当弹性云服务器的密码丢失或过期时,可使用该功能进行一键式重置密码。

2022年1月14日以前的旧版本一键式重置密码插件“CloudResetPwdUpdateAgent ”使用了Apache Log4j2组件,会被安全工具扫描出漏洞。

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

华为云修复时间

Apache Log4j2 远程代码执行

CVE-2021-44228

严重

2021-12-09

2022-1-14

Apache Log4j2 远程代码执行

CVE-2021-45046

严重

2021-12-15

2022-1-14

Apache Log4j2 拒绝服务

CVE-2021-45105

2021-12-18

2022-1-14

Apache Log4j2 远程代码执行

CVE-2021-44832

2021-12-29

2022-1-14

漏洞影响

一键式重置密码插件是弹性云服务器内部运行的客户端进程,不对外提供任何网络服务。经华为云安全实验室分析验证,一键式重置密码插件无可利用条件,无安全风险。

判断方法

老版本一键式重置密码插件的部署路径为:

/CloudResetPwdUpdateAgent/lib/log4j-api-2.8.2.jar
/CloudResetPwdUpdateAgent/lib/log4j-core-2.8.2.jar

如存在以上文件,则说明使用的是老版本一键式重置密码插件。

漏洞修复方案

弹性云服务器最新版本的插件已移除对Apache Log4j2组件的依赖,建议您升级弹性云服务器的插件版本,具体操作请参考更新一键式重置密码插件。

父主题: 漏洞公告

内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家