Apache Log4j2漏洞声明

尊敬的ManageEngine 用户：

2021 年 12 月 9 日公开披露了一个影响 Apache Log4j2 实用程序多个版本的高严重性漏洞 (CVE-2021-44228)。该漏洞影响 Apache Log4j2 2.15.0 以下版本。受到 Log4j2 影响的ManageEngine 产品如下：

产品名称	Jar version in bundled dependency
ADManager Plus	V2.11.1
ADAudit Plus	V2.10.0
DataSecurity Plus	V2.10.0
EventLog Analyzer	V2.9.1
M365 Manager Plus	V2.11.1
RecoveryManager Plus	V2.11.1
Exchange Reporter Plus	V2.11.1
Log360	V2.9.1
Log360 UEBA	V2.11.1
Cloud Security Plus	V2.9.1
M365 Security Plus	V2.11.1
Analytics Plus	V2.7

特此声明，由于我们不直接使用 Log4j 进行日志记录，因此我们未在上述产品中发现任何由于 Log4j2 引起的可利用威胁案例。 但是我们使用 bundle Log4j2 作为依赖的第三方软件， 因此作为增强的安全措施，该漏洞的最新信息及解决方案请参见：

https://pitstop.manageengine.com/portal/en/community/topic/update-on-the-recent-apache-log4j2-vulnerability-impact-on-manageengine-on-premises-products-1

上面未列出的其他 ManageEngine 产品不受此漏洞的影响。

我们将继续分析该问题，如果有任何新信息可用，我们将更新此公告。

如需任何其他详细信息或帮助，请联系 support@manageengine.cn