【風(fēng)險(xiǎn)通告】Apache Log4j-2任意代碼執(zhí)行漏洞
2021-12-10 18:13:59
近日�,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Log4j-2中存在JNDI注入漏洞����,當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)進(jìn)行日志記錄時(shí),即可觸發(fā)此漏洞�����,成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼�����。
該漏洞細(xì)節(jié)已公開(kāi)���,存在在野利用行為�,請(qǐng)使用 Apache Log4j2的業(yè)務(wù)線盡快按照下文修復(fù)建議進(jìn)行處理,以免造成非必要損失����。
漏洞詳情
Apache Log4j2是Apache的一個(gè)開(kāi)源項(xiàng)目,它允許開(kāi)發(fā)者以任意間隔輸出日志信息�;可以控制日志信息輸送的目的地是控制臺(tái)、文件��、GUI組件��,甚至是套接口服務(wù)器�、NT的事件記錄器���、UNIX Syslog守護(hù)進(jìn)程等���。
該漏洞是由于Apache Log4j2某些功能存在遞歸解析功能,攻擊者可直接構(gòu)造惡意請(qǐng)求����,觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。漏洞利用無(wú)需特殊配置Apache Struts2����、Apache Solr�、Apache Druid�����、Apache Flink等均受影響�。
風(fēng)險(xiǎn)等級(jí)
嚴(yán)重
影響范圍
Log4j -2<= 2.15.0-rc1
修復(fù)建議
升級(jí)至安全版本
1. 升級(jí)Apache Log4j2所有相關(guān)應(yīng)用到最新的 log4j-2.15.0-rc2 版本�����,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2. 升級(jí)已知受影響的應(yīng)用及組件�,如spring-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid
臨時(shí)處置建議-禁用lookup屬性
1. 通過(guò)啟動(dòng)參數(shù)修改
l 2.10.0 以及以上版本,在java啟動(dòng)參數(shù)增加配置 -Dlog4j2.formatMsgNoLookups=true
l 2.9.x版本�,升級(jí)至2.10.0,再進(jìn)行配置
2. 通過(guò)配置文件修改
l 2.10.0以及以上版本在log4j2.component.properties配置文件中修改`log4j2.formatMsgNoLookups = true`
l 2.9.x版本���,升級(jí)至2.10.0��,再進(jìn)行配置
注意:
禁用lookup功能��,date���,java���,marker,ctx�,main,jvmrunargs�����,sys��,env����,log4j等屬性會(huì)被禁用����。默認(rèn)情況下使用`logger.info("Try ${date:YYYY-MM-dd}")`,會(huì)將`${date:YYYY-MM-dd}`打印成當(dāng)前時(shí)間���。
禁用lookup功能后�,會(huì)將消息字符串保存原樣����,在日志中輸出`Try ${date:YYYY-MM-dd}`�����。
參考連接
[1] https://github.com/apache/logging-log4j2
[2] https://github.com/apache/logging-log4j2/commit/7fe72d6