一、 基本情况
Apache Log4j 2是一款开源的Java日志记录框架。该工具重写了Log4j框架,并且引入了大量新功能,被大量用于业务系统开发。由于Apache Log4j 2 新增的lookup 功能未对输入进行严格的判断,存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。该漏洞攻击复杂度低,影响范围极其广泛,危害极其严重,建议第一时间启动应急响应进行修复。
二、 漏洞描述
漏洞利用无需特殊配置,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
三、影响范围
Log4j版本 |
是否受影响 |
2.x<=2.14.1 |
是 |
2.15.0-rc1 |
是 |
2.15.0-rc2 |
否 |
可能的受影响的应用包括但不限于如下:
四、安全建议
1.排查
根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了log4j-api 、log4j-core等存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。
2.防护
1)升级Apache Log4j 2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2) 升级已知受影响的应用及组件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid。
五、参考链接
1. https://mp.weixin.qq.com/s/WhnB7X3QmaQe5aP91E9ZQw
2. https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
