打开微信扫一扫
【漏洞描述】:
Apache Log4j 2是一款开源的Java的日志记录工具,大量的业务框架都使用了该组件。
近日, Apache Log4j的远程代码执行最新漏洞细节被公开,攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码。可导致服务器被黑客控制,从而进行页面篡改、数据窃取、挖矿、勒索等行为。
【风险等级】:紧急
此次漏洞是用于Log4j2提供的lookup功能造成的,Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码, 鉴于此漏洞危害巨大,利用门槛极低,建议用户尽快参考缓解方案阻止漏洞攻击。
【影响范围】:Java类产品:Apache Log4j 2.x <= 2.14.1 可能的受影响应用及组件(包括但不限于)如下:
Spring-Boot-strater-log4j2
Apache Struts2
Apache Solr
Apache Flink
Apache Druid
ElasticSearch
flume
dubbo
Redis
logstash
kafka
更多组件可参考如下链接:
https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1
【补救措施】
(1) 修改jvm参数-Dlog4j2.formatMsgNoLookups=true
(2) 修改配置log4j2.formatMsgNoLookups=True
(3) 将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
【检测攻击】
可以通过检查日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。
【修复建议】
目前漏洞POC已被公开,官方已发布安全版本,建议使用Java开发语言的系统尽快确认是否使用Apache Log4j 2插件。禁止使用log4j服务器外连,升级idk 11.0.1 8u191 7u201 6u211或更高版本。
请尽快升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
各单位可参考国家计算机网络应急技术处理协调中心编撰的《Apache Log4j2远程代码执行漏洞排查及修复手册》进行漏洞处置和安全加固工作。 https://www.cnvd.org.cn/webinfo/show/7146