【网安资讯】高危漏洞!Apache Log4j 2远程代码执行漏洞(附修复建议)

2021-12-10123

近日,我司监测到Apache Log4j 2项目官方公开了一个远程命令执行漏洞,利用代码已被公开。Apache Log4j 2是一个基于JAVA的日志记录工具,该工具重写了Log4j框架,并且引入了大量丰富的特性。所有JAVA开发系统中的调用Apache Log4j 2的都有可能受到影响。由于Apache Log4j 2存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

经验证,漏洞利用无需特殊配置,漏洞PoC已在网上公开并且广泛流传,默认配置即可进行利用,该漏洞影响范围广,利用难度低,请相关用户及时修复并加以防范,防止漏洞攻击发生。


影响版本


可能的受影响应用包括但不限于如下:

Spring-Boot-strater-log4j2

Apache Struts2

Apache Solr

Apache Flink

Apache Druid

ElasticSearch

flume

dubbo

Redis

logstash

kafka


漏洞级别

IMG_257

严重!!!!

用户需要排查JAVA应用是否引入log4j-api , log4j-core 两个jar,检查版本是否为2.x版本,并且版本小于2.15.0-rc2,若符合极可能会受到影响。


漏洞防护IMG_258

官方解决方案
1、目前官方暂未发布正式更新版本,请更新对应临时补丁:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、若暂无法更新,可采取以下缓解措施:

1)修改jvm参数:-Dlog4j2.formatMsgNoLookups=true

2)修改配置:log4j2.formatMsgNoLookups=True

3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为 true

3、用户可排查Java应用是否引入log4j-apilog4j-core两个jar,若存在使用,极大可能会受到影响。
9001cc金沙以诚为本修复建议
1.
升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本。

2. 升级已知受影响的应用及组件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

3. jvm参数 -Dlog4j2.formatMsgNoLookups=true

4. log4j2.formatMsgNoLookups=True。

5. 系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

6. 禁止使用log4j的服务器外连出网。

7. 使用高版本jdk(如jdk11.0.18u1917u2016u211或更高版本),因为高版本JDK默认无法利用JNDI注入快采取安全措施阻止漏洞攻击。