高危預警 || 海雲安釋出Apache Log4j2漏洞處置方案

haiyunan發表於2022-03-22

圖片


2021年12月10日,國家資訊保安漏洞共享平臺收錄了Apache Log4j2遠端程式碼執行漏洞。攻擊者利用該漏洞,可在未授權的情況下遠端執行程式碼。


Apache Log4j2是一款Java開源日誌元件,該工具重寫了Log4j框架,該日誌框架被大量用於業務系統開發,用來記錄日誌資訊。多數情況之下,開發者可能會將使用者輸入導致的錯誤資訊寫入日誌中。此漏洞的嚴重性、影響面,堪稱史上之最。攻擊者可以利用漏洞遠端執行程式碼,最終獲得伺服器的最高許可權。


受影響版本

Apache Log4j 2.x < 2.15.0-rc2


已知受影響應用及元件

srping-boot-strater-log4j2

Apache Struts2

Apache Solr

Apache Flink

Apache Druid

ElasticSearch

Flume

Dubbo

Jedis

Logstash

Kafka

漏洞排查


若程式使用Maven打包,檢視專案的pom.xml檔案中是否存在下圖所示的相關欄位,若版本號為小於2.15.0,則存在該漏洞。

圖片

若程式使用gradle打包,可檢視build.gradle編譯配置檔案,若在dependencies部分存在org.apache.logging.log4j相關欄位,且版本號為小於2.15.0,則存在該漏洞。

圖片


漏洞防護升級版本

目前官方已釋出測試版本修復該漏洞,受影響使用者可先將Apache Log4j2所有相關應用到該版本,下載連結:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2


海雲安建議應急措施


1.在jvm引數中新增-Dlog4j2.formatMsgNoLookups=true

2.系統環境變數中將FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設定為true

3. 建立“log4j2.component.properties”檔案,檔案中增加配置“log4j2.formatMsgNoLookups=true”



相關文章