【風險通告】Apache Log4j-2任意代碼執(zhí)行漏洞
2021-12-10 18:13:59
近日�,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Apache Log4j-2中存在JNDI注入漏洞�,當程序?qū)⒂脩糨斎氲臄?shù)據(jù)進行日志記錄時,即可觸發(fā)此漏洞�����,成功利用此漏洞可以在目標服務(wù)器上執(zhí)行任意代碼���。
該漏洞細節(jié)已公開����,存在在野利用行為����,請使用 Apache Log4j2的業(yè)務(wù)線盡快按照下文修復(fù)建議進行處理�,以免造成非必要損失���。
漏洞詳情
Apache Log4j2是Apache的一個開源項目,它允許開發(fā)者以任意間隔輸出日志信息����;可以控制日志信息輸送的目的地是控制臺、文件����、GUI組件,甚至是套接口服務(wù)器�、NT的事件記錄器、UNIX Syslog守護進程等�����。
該漏洞是由于Apache Log4j2某些功能存在遞歸解析功能��,攻擊者可直接構(gòu)造惡意請求��,觸發(fā)遠程代碼執(zhí)行漏洞���。漏洞利用無需特殊配置Apache Struts2��、Apache Solr�����、Apache Druid���、Apache Flink等均受影響����。
風險等級
嚴重
影響范圍
Log4j -2<= 2.15.0-rc1
修復(fù)建議
升級至安全版本
1. 升級Apache Log4j2所有相關(guān)應(yīng)用到最新的 log4j-2.15.0-rc2 版本���,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2. 升級已知受影響的應(yīng)用及組件����,如spring-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid
臨時處置建議-禁用lookup屬性
1. 通過啟動參數(shù)修改
l 2.10.0 以及以上版本����,在java啟動參數(shù)增加配置 -Dlog4j2.formatMsgNoLookups=true
l 2.9.x版本,升級至2.10.0�,再進行配置
2. 通過配置文件修改
l 2.10.0以及以上版本在log4j2.component.properties配置文件中修改`log4j2.formatMsgNoLookups = true`
l 2.9.x版本,升級至2.10.0����,再進行配置
注意:
禁用lookup功能,date����,java,marker�����,ctx��,main�,jvmrunargs,sys���,env���,log4j等屬性會被禁用。默認情況下使用`logger.info("Try ${date:YYYY-MM-dd}")`�����,會將`${date:YYYY-MM-dd}`打印成當前時間���。
禁用lookup功能后�����,會將消息字符串保存原樣����,在日志中輸出`Try ${date:YYYY-MM-dd}`。
參考連接
[1] https://github.com/apache/logging-log4j2
[2] https://github.com/apache/logging-log4j2/commit/7fe72d6