【漏洞通告】Apache Log4j 远程代码执行漏洞
2021-12-10 12:08 王心成  信息化管理处

日前,安全厂商向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

根据厂商描述,Apache Log4j2目前仍在传播利用中,在此提醒校园网用户尽快安装补丁阻止漏洞攻击,做好资产自检和预防工作,以免遭受攻击。由于该漏洞影响范围极广,建议广大校园网用户及时排查相关漏洞。

一、漏洞情况分析

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

二、漏洞影响范围

目前受影响的版本: Apache Log4j 2.x <= 2.15.0-rc1(目前因更新补丁存在绕过风险,受影响版本不再限于2.14.1以下

由于Apache Log4j2在JAVA应用中使用量大,目前已知受影响的组件应用有:Apache Solr,Apache Flink,Apache Druid

三、解决方案

排查方法:到服务器搜索排查Java应用是否引入 log4j-api , log4j-core 两个jar包,影响版本:Apache Log4j 2.x <= 2.14.1

修复建议:

1.升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc1版本,地址https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2(经厂商测试log4j-2.15.0-rc1目前存在绕过风险,请更新最新版本rc2);

2、升级已知受影响的应用及组件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

缓解措施:

(1). jvm参数-Dlog4j2.formatMsgNoLookups=true

(2). log4j2.formatMsgNoLookups=True

(3).系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

参考资料

[1] https://github.com/apache/logging-log4j2

[2] https://github.com/apache/logging-log4j2/commit/7fe72d6

关闭窗口