【安全通告】Apache log4j2 遠程代碼執行漏洞風險通告（CVE-2021-44832）

騰訊云安全運營中心監測到，Apache Log4j2 官方發布公告提示其在某些特殊場景下存在遠程代碼執行漏洞，漏洞編號CVE-2021-44832。該漏洞僅在攻擊者擁有修改配置文件權限時才可遠程執行任意代碼，漏洞利用難度較大。

為避免您的業務受影響，騰訊云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復，避免被外部攻擊者入侵。

漏洞詳情

Apache Log4j2 是一個基于Java的開源日志記錄框架，該框架重寫了Log4j框架，是其前身Log4j 1.x 的重寫升級版，并且引入了大量豐富的特性，使用非常的廣泛。該框架被大量用于業務系統開發，用來記錄日志信息。

據官方描述，擁有修改日志配置文件權限的攻擊者，可以構造惡意的配置將 JDBC Appender 與引用 JNDI URI 的數據源一起使用，從而可通過該 JNDI URI 遠程執行任意代碼。

由于該漏洞要求攻擊者擁有修改配置文件權限（通常需借助其他漏洞才可實現），非默認配置存在的問題，漏洞成功利用難度較大。

風險等級

中風險

漏洞風險

攻擊者利用該漏洞可導致遠程代碼執行

影響版本

2.0-beta7 =< Apache Log4j 2.x < 2.17.0（2.3.2 和 2.12.4 版本不受影響）

安全版本

Log4j >= 2.3.2 (Java 6)

Log4j >= 2.12.4 (Java 7)

Log4j >= 2.17.1 (Java 8 及更新版)

修復建議

目前Apache Log4j2 官方已有可更新版本，漏洞實際風險一般，建議用戶保持關注；如有需要，再酌情進行升級。

官方鏈接：

https://logging.apache.org/log4j/2.x/download.html

【備注】：建議您在升級前做好數據備份工作，避免出現意外

漏洞參考：

https://logging.apache.org/log4j/2.x/security.html