一、Log4j2介紹
Apache Log4j2是一款優秀的Java日志框架。該工具重寫了Log4j框架,并且引入了大量豐富的特性。該日志框架被大量用于業務系統開發,用來記錄日志信息。
二、Log4j2漏洞描述
漏洞名稱:Apache Log4j2 遠程代碼執行漏洞。
Apache Log4j2某些功能存在遞歸解析功能,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞。
三、漏洞評級
嚴重。
四、漏洞危害
漏洞利用無需特殊配置,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞。
利用門檻極低。存在于方方面面,只要你打印了某些東西,這些東西又能被構造的話,就會發生問題。
五、影響版本
Apache Log4j 2.x <= 2.15.0-rc1
六、已知受影響應用及組件:
Apache Solr
Apache Flink
Apache Druid
srping-boot-starter-log4j2
七、人工檢測
1. 可根據Java jar解壓后是否存在org/apache/logging/log4j相關路徑結構,判斷是否使用了存在漏洞的組件,若存在相關Java程序包,則很可能存在該漏洞。
2. 若程序使用Maven打包,查看項目的pom.xml文件中是否存在log4j2相關依賴,若版本號為小于2.15.0,則存在該漏洞。
八、修復措施
建議排查Java應用是否引入log4j-api , log4j-core 兩個jar,若存在使用,極大可能會受到影響,強烈建議受影響用戶盡快進行防護 。
log4j-2.15.0-rc1發布了緊急補丁。但不久又被發現依然存在新的問題。
據 Apache 官方最新信息顯示,release 頁面上已經更新了 Log4j 2.15.0 版本,主要是那個log4j-core包,漏洞就是在這個包里產生的,如果你的程序有用到,盡快緊急升級。
現在網上公開的倉庫還下載不到解決漏洞的Log4j2 2.15.0版本,需要自己編譯源碼獲取Jar包。
Log4j 2.15.0版本,地址 https://github.com/apache/logging-log4j2/releases/tag/rel/2.15.0
九、臨時解決方案
1. 設置jvm參數 “-Dlog4j2.formatMsgNoLookups=true”
2. 設置“log4j2.formatMsgNoLookups=True”
3. 系統環境變量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設置為“true”
4. 關閉對應應用的網絡外連,禁止主動外連
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:網絡
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照