【漏洞更新情報】Apache Log4j 2 遠程代碼執行漏洞風險更新公告
騰訊云安全運營中心監測到, Apache Log4j 2 被爆存在嚴重代碼執行漏洞,目前官方還沒有正式發布安全公告及版本,漏洞被利用可導致服務器被入侵等危害。
為避免您的業務受影響,騰訊云安全建議您及時開展安全自查,如在受影響范圍,請您及時進行更新修復,避免被外部攻擊者入侵。
漏洞詳情
Apache Log4j 2是一個開源的日志記錄組件,使用非常的廣泛。在工程中以易用方便代替了 System.out 等打印語句,它是JAVA下最流行的日志輸入工具。
使用 Log4j 2 在一定場景條件下處理惡意數據時,可能會造成注入類代碼執行。并影響以此為基礎的眾多其他組件及應用。
風險等級
高風險
漏洞風險
攻擊者利用該漏洞可導致代碼執行
影響版本
Apache log4j2 >= 2.0, <= 2.14.1
安全版本
暫無
修復建議
官方暫未發布正式漏洞補丁及修復版本,請密切關注官方最新版本發布,并關注服務器的異常行為。
用戶可排查Java應用是否引入 log4j-api , log4j-core 兩個jar包,如有使用可考慮使用如下官方臨時補丁進行修復:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
由于Log4j2 作為日志記錄基礎第三方庫,被大量Java框架及應用使用,只要用到 Log4j2 進行日志輸出且日志內容能被攻擊者部分可控,即可能會受到漏洞攻擊影響。因此,該漏洞也同時影響全球大量通用應用及組件,例如 :
Apache Struts2
Apache Solr
Apache Druid
Apache Flink
Apache Flume
Apache Dubbo
Apache Kafka
Spring-boot-starter-log4j2
ElasticSearch
Redis
Logstash
…
建議及時檢查并升級所有使用了 Log4j 組件的系統或應用。
其他臨時緩解措施
1. 禁止沒有必要的業務訪問外網。
2. 設置jvm參數
“-Dlog4j2.formatMsgNoLookups=true”
3. 設置
“log4j2.formatMsgNoLookups=True”
4. 系統環境變量
“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設置為“true”
【備注】:建議您在升級前做好數據備份工作,避免出現意外。
騰訊安全解決方案
騰訊T-Sec Web應用防火墻(WAF)、騰訊T-Sec高級威脅檢測系統(NDR、御界)、騰訊T-Sec云防火墻均已支持檢測攔截利用Log4j2 遠程代碼執行漏洞的攻擊活動。
漏洞參考:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
