【漏洞描述】
Apache Log4j2是一款開源的Java的日誌記錄工具,大量的業務框架都使用了該元件。
近日, Apache Log4j的遠端程式碼執行最新漏洞細節被公開,攻擊者可透過構造惡意請求利用該漏洞實現在目標伺服器上執行任意程式碼。可導致伺服器被駭客控制,從而進行頁面篡改、資料竊取、挖礦、勒索等行為。建議使用該元件的使用者第一時間啟動應急響應進行修復。
【漏洞等級】:緊急
此次漏洞是用於Log4j2提供的lookup功能造成的,該功能允許開發者透過一些協議去讀取相應環境中的配置。但在實現的過程中,並未對輸入進行嚴格的判斷,從而造成漏洞的發生。
【影響範圍】:Java類產品:Apache Log4j 2.x < 2.15.0-rc2
可能的受影響應用及元件(包括但不限於)如下:
Apache Solr
Apache Flink
Apache Druid
Apache Struts2
srping-boot-strater-log4j2
ElasticSearch
flume
dubbo
Redis
logstash
kafka
更多元件可參考如下連結:
https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1
不受影響版本:Apache log4j-2.15.0-rc2
【緊急補救措施】
(1)修改jvm引數 -Dlog4j2.formatMsgNoLookups=true
(2)修改配置log4j2.formatMsgNoLookups=True
(3)將系統環境變數 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設定為 true
【攻擊檢測】
可以透過檢查日誌中是否存在“jndi:ldap://”、“jndi:rmi”等字元來發現可能的攻擊行為。
【修復建議】
目前漏洞POC已被公開,官方已釋出安全版本,建議使用Java開發語言的系統儘快確認是否使用Apache Log4j 2外掛。禁止使用log4j伺服器外連,升級idk 11.0.1 8u191 7u201 6u211或更高版本。
請儘快升級Apache Log4j2所有相關應用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2