2021 年 12 月 10 日,国家信息安全漏洞共享平台(CNVD)收录了 Apache Log4j2 远程代码执行 漏洞(CNVD-2021-95914)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞利用 细节已公开,Apache 官方已发布补丁修复该漏洞。CNVD 建议受影响用户立即更新至最新版本,同时采 取防范性措施避免漏洞攻击威胁。
一、漏洞情况分析
Apache Log4j 是一个基于 Java 的日志记录组件。Apache Log4j2 是 Log4j 的升级版本,通过重写 Log4j 引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。 2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。 由于 Log4j2 组件在处理程序日志记录时存在 JNDI 注入缺陷,未经授权的攻击者利用该漏洞,可向目标服 务器发送精心构造的恶意数据,触发 Log4j2 组件解析缺陷,实现目标服务器的任意代码执行,获得目标 服务器权限。
CNVD 对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响的产品版本包括: Apache Log4j2 2.0 - 2.15.0-rc1
三、漏洞处置建议
目前,Apache 官方已发布新版本完成漏洞修复,CNVD 建议用户尽快进行自查,并及时升级至最新 版本: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
建议同时采用如下临时措施进行漏洞防范:
1)添加 jvm 启动参数-Dlog4j2.formatMsgNoLookups=true;
2)在应用 classpath 下添加 log4j2.component.properties 配置文件,文件内容为 log4j2.formatMsgNoLookups=true; 3)JDK 使用 11.0.1、8u191、7u201、6u211 及以上的高版本;
4)部署使用第三方防火墙产品进行安全防护。
建议使用如下相关应用组件构建网站的信息系统运营者进行自查,如 Apache Struts2、Apache Solr、 Apache Druid、Apache Flink 等,发现存在漏洞后及时按照上述建议进行处置。
附:参考链接: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
