关于Apache Log4j2 远程代码执行漏洞(更新)的预警提示

信息与网络安全科发布时间:2021-12-13浏览次数:395

一、漏洞详情

Apache Log4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。

近日监测到Apache Log4j2存在远程代码执行漏洞,该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。目前已知受影响的应用和组件:Apache SolrApache FlinkApache Druidsrping-boot-strater-log4j2等。

最新发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过,请及时更新至Apache Log4j 2.15.0正式版本。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

经验证2.15.0-rc1可被绕过,实际受影响的版本为:Apache Log4j 2.x < 2.15.0-rc2

三、修复建议

1、排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0 版本,地址:https://logging.apache.org/log4j/2.x/download.html

2、升级已知受影响的应用及组件,如spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

3、临时缓解方案。可升级jdk版本至6u211/7u201/8u191/11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。对于大于2.10版本的Log4j,可设置 log4j2.formatMsgNoLookups True,或者将 JndiLookup 类从 classpath 中去除,例如 zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class