CNCERT:關于Apache Log4j2存在遠程代碼執行漏洞的安全公告
2021年12月10日,國家信息安全漏洞共享平臺(CNVD)收錄了Apache Log4j2遠程代碼執行漏洞(CNVD-2021-95914)。攻擊者利用該漏洞,可在未授權的情況下遠程執行代碼。目前,漏洞利用細節已公開,Apache官方已發布補丁修復該漏洞。CNVD建議受影響用戶立即更新至最新版本,同時采取防范性措施避免漏洞攻擊威脅。
一、漏洞情況分析 Apache Log4j是一個基于Java的日志記錄組件。Apache Log4j2是Log4j的升級版本,通過重寫Log4j引入了豐富的功能特性。該日志組件被廣泛應用于業務系統開發,用以記錄程序輸入輸出日志信息。
2021年11月24日,阿里云安全團隊向Apache官方報告了Apache Log4j2遠程代碼執行漏洞。由于Log4j2組件在處理程序日志記錄時存在JNDI注入缺陷,未經授權的攻擊者利用該漏洞,可向目標服務器發送精心構造的惡意數據,觸發Log4j2組件解析缺陷,實現目標服務器的任意代碼執行,獲得目標服務器權限。
CNVD對該漏洞的綜合評級為“高危”。
二、漏洞影響范圍 漏洞影響的產品版本包括:
Apache Log4j2 2.0 - 2.15.0-rc1
三、漏洞處置建議 目前,Apache官方已發布新版本完成漏洞修復,CNVD建議用戶盡快進行自查,并及時升級至最新版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
建議同時采用如下臨時措施進行漏洞防范:
1)添加jvm啟動參數-Dlog4j2.formatMsgNoLookups=true;
2)在應用classpath下添加log4j2.component.properties配置文件,文件內容為log4j2.formatMsgNoLookups=true;
3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;
4)部署使用第三方防火墻產品進行安全防護。
建議使用如下相關應用組件構建網站的信息系統運營者進行自查,如Apache Struts2、Apache Solr、Apache Druid、Apache Flink等,發現存在漏洞后及時按照上述建議進行處置。
附:參考鏈接:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
感謝北京知道創宇信息技術股份有限公司、北京神州綠盟科技有限公司、杭州安恒信息技術股份有限公司、北京鴻騰智能科技有限公司和奇安信科技集團股份有限公司為本報告提供的技術支持。
