一、Log4j2介绍
Apache Log4j2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。
二、Log4j2漏洞描述
漏洞名称:Apache Log4j2 远程代码执行漏洞。
Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
三、漏洞评级
严重。
四、漏洞危害
漏洞利用无需特殊配置,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
利用门槛极低。存在于方方面面,只要你打印了某些东西,这些东西又能被构造的话,就会发生问题。
五、影响版本
Apache Log4j 2.x <= 2.15.0-rc1
六、已知受影响应用及组件:
Apache Solr
Apache Flink
Apache Druid
srping-boot-starter-log4j2
七、人工检测
1. 可根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。
2. 若程序使用Maven打包,查看项目的pom.xml文件中是否存在log4j2相关依赖,若版本号为小于2.15.0,则存在该漏洞。
八、修复措施
建议排查Java应用是否引入log4j-api , log4j-core 两个jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护 。
log4j-2.15.0-rc1发布了紧急补丁。但不久又被发现依然存在新的问题。
据 Apache 官方最新信息显示,release 页面上已经更新了 Log4j 2.15.0 版本,主要是那个log4j-core包,漏洞就是在这个包里产生的,如果你的程序有用到,尽快紧急升级。
现在网上公开的仓库还下载不到解决漏洞的Log4j2 2.15.0版本,需要自己编译源码获取Jar包。
Log4j 2.15.0版本,地址 https://github.com/apache/logging-log4j2/releases/tag/rel/2.15.0
九、临时解决方案
1. 设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”
2. 设置“log4j2.formatMsgNoLookups=True”
3. 系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”
4. 关闭对应应用的网络外连,禁止主动外连
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:网络
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照