Apache 这次又要背锅了,这漏洞的影响范围太广(绝大部分公司都会受影响),又是一个可以载入历史的漏洞。
漏洞描述
Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。
由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。
因此,该漏洞也同时影响全球大量通用应用及组件,例如:
-
- Apache Struts2
- Apache Solr
- Apache Druid
- Apache Flink
- Apache Flume
- Apache Dubbo
- Apache Kafka
- Spring-boot-starter-log4j2
- ElasticSearch
- Redis
- Logstash
- …
建议及时检查并升级所有使用了 Log4j 组件的系统或应用。
漏洞评级
Apache Log4j 远程代码执行漏洞,严重!
影响版本
经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下:
Apache Log4j 2.x < 2.15.0-rc2
安全建议
1、排查应用是否引入了 Apache log4j-core Jar 包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。
请尽快升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https:///apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
3、可升级 jdk 版本至 6u211 / 7u201 / 8u191 / 11.0.1 以上,可以在一定程度上限制 JNDI 等漏洞利用方式。