关于Apache Log4j 2远程代码执行最新漏洞的风险提示

关于Apache

Log4j

2远程代码执行最新漏洞的风险提示

一、漏洞描述

Apache

Log4j

2是一款开源的Java的日志记录工具，大量的业务框架都使用了该组件。

近日,Apache

Log4j的远程代码执行最新漏洞细节被公开，攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码。可导致服务器被黑客控制，从而进行页面篡改、数据窃取、挖矿、勒索等行为。建议使用该组件的用户第一时间启动应急响应进行修复。

二、漏洞等级：紧急

此次漏洞是用于

Log4j2

提供的lookup

功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。

三、影响范围：Java类产品：Apache

Log4j

2.x

2.15.0-rc21、可能的受影响应用及组件（包括但不限于）如下：

Apache

Solr

Apache

Flink

Apache

Druid

Apache

Struts2

srping-boot-strater-log4j2

ElasticSearch

flume

dubbo

Redis

logstash

kafka2、更多组件可参考如下链接：

https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=13、不受影响版本：

Apache

log4j-2.15.0-rc2

四、紧急补救措施

（1）修改jvm参数

-Dlog4j2.formatMsgNoLookups=true

（2）修改配置log4j2.formatMsgNoLookups=True

（3）将系统环境变量

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS

设置为

true

五、攻击检测

可以通过检查日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。

六、修复建议

1、目前漏洞POC已被公开，官方已发布安全版本，建议使用Java开发语言的系统尽快确认是否使用Apache

Log4j

2插件。禁止使用log4j服务器外连，升级idk

11.0.1

8u191

7u201

6u211或更高版本。

2、请尽快升级Apache

Log4j2所有相关应用到最新的log4j-2.15.0-rc2

版本，地址

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2