高危預警 || 海雲安釋出Apache Log4j2漏洞處置方案

2021年12月10日，國家資訊保安漏洞共享平臺收錄了Apache Log4j2遠端程式碼執行漏洞。攻擊者利用該漏洞，可在未授權的情況下遠端執行程式碼。

Apache Log4j2是一款Java開源日誌元件，該工具重寫了Log4j框架，該日誌框架被大量用於業務系統開發，用來記錄日誌資訊。多數情況之下，開發者可能會將使用者輸入導致的錯誤資訊寫入日誌中。此漏洞的嚴重性、影響面，堪稱史上之最。攻擊者可以利用漏洞遠端執行程式碼，最終獲得伺服器的最高許可權。

受影響版本

Apache Log4j 2.x < 2.15.0-rc2

已知受影響應用及元件

srping-boot-strater-log4j2

Apache Struts2

Apache Solr

Apache Flink

Apache Druid

ElasticSearch

Flume

Dubbo

Jedis

Logstash

Kafka

漏洞排查

若程式使用Maven打包，檢視專案的pom.xml檔案中是否存在下圖所示的相關欄位，若版本號為小於2.15.0，則存在該漏洞。

若程式使用gradle打包，可檢視build.gradle編譯配置檔案，若在dependencies部分存在org.apache.logging.log4j相關欄位，且版本號為小於2.15.0，則存在該漏洞。

漏洞防護升級版本

目前官方已釋出測試版本修復該漏洞，受影響使用者可先將Apache Log4j2所有相關應用到該版本，下載連結：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

海雲安建議應急措施

1.在jvm引數中新增-Dlog4j2.formatMsgNoLookups=true

2.系統環境變數中將FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設定為true

3. 建立“log4j2.component.properties”檔案，檔案中增加配置“log4j2.formatMsgNoLookups=true”