Apache Log4j2 高危漏洞來襲,i春秋結合漏洞危害程度和影響範圍總結多條修複建議,戳文檢視詳情>>
漏洞名稱:Apache Log4j2遠端代碼執行漏洞
元件名稱:Apache Log4j2
截止2021年12⽉10⽇,受影響的Apache log4j2版本:2.0≤Apache Log4j<=2.15.0-rc1
漏洞類型:遠端代碼執行
綜合評價:
<利用難度>:容易,無需授權即可遠端代碼執行。
<威脅等級>:高危,能造成遠端代碼執行。
01 漏洞詳情
Apache Log4j2是一個基于Java的日志記錄工具。該工具重寫了Log4j架構,并且引入了大量豐富的特性。該日志架構被大量用于業務系統開發,用來記錄日志資訊。
由于Apache Log4j2某些功能存在遞歸解析功能,攻擊者可直接構造惡意請求,⽆需進⾏特殊配置,即可觸發遠端代碼執⾏。
02 影響範圍
Apache Log4j2廣泛地應用在中間件、開發架構、Web應用中。漏洞危害性高,涉及使用者量較大,導緻漏洞影響力巨大。
截止2021年12⽉10日,受影響的Apache log4j2版本:2.0 <= Apache log4j2 <= 2.15.0-rc1
受影響的Java架構:
03 修複建議
1、項目中直接使用Apache Log4j2
更新Apache Log4j2所有相關應用到最新的log4j-2.15.0-rc2版本,位址 :
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
- Apache Maven 版本
修改pom.xml
<dependencies>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.15.0-rc2</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0-rc2</version>
</dependency>
</dependencies>
- Gradle 版本
修改build.gradle
dependencies {
compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.15.0-rc2'
compile group: 'org.apache.logging.log4j', name: 'log4j-core', version: '2.15.0-rc2'
}
2、架構⼆次加載 Apache Log4j2
截止目前,第三方架構中使⽤Apache Log4j2的,⽐如srping-boot、Apache Struts2等,暫未釋出最新修複版本。
隻能使用臨時方案進行修複。
①在jvm啟動參數中添加-Dlog4j2.formatMsgNoLookups=true
②系統環境變量中配置export LOG4J_FORMAT_MSG_NO_LOOKUPS=true
③項目中建立log4j2.component.properties檔案,檔案中增加配置log4j2.formatMsgNoLookups=true
④部署第三方防火牆産品。
04 應急支援
如需應急支援,請撥打客服電話。
應急響應聯系電話:400-8818-293。