Apache Log4j2 爆高危漏洞 使用Java語言開發產品的企業均需自查

日前，被全球廣泛應用的組件Apache Log4j被曝出一個已存在在野利用的高危漏洞，攻擊者僅需一段代碼就可遠程控制受害者服務器。

Log4j2是全球使用廣泛的java日志框架，被大量應用于業務系統開發，用以記錄程序輸入輸出日志信息。由于Log4j2組件在處理程序日志記錄時存在JNDI注入缺陷，未經授權的攻擊者利用該漏洞，可向目標服務器發送精心構造的惡意數據，觸發Log4j2組件解析缺陷，實現目標服務器的任意代碼執行，獲得目標服務器權限。由于此次漏洞組件屬于Java產品的基礎組件，使用范圍廣，幾乎所有行業都受到該漏洞影響。

漏洞影響的產品版本包括：

Apache Log4j2 2.0 - 2.15.0-rc1

該漏洞還影響很多通用開源組件，例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。

該漏洞利用方式簡單，危害嚴重，凡是使用了Java作為開發語言研發產品的企業，或者使用了Java語言開發的產品的企業，企業內部均需要自查自身的安全隱患。目前，漏洞利用細節已公開，Apache官方已發布補丁修復該漏洞，建議受影響用戶立即更新至最新版本，同時采取防范性措施避免漏洞攻擊威脅。

Apache官方最新版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

建議同時采用以下臨時措施進行防范：

• 添加jvm啟動參數-Dlog4j2.formatMsgNoLookups=true；
• 在應用classpath下添加log4j2.component.properties配置文件，文件內容為log4j2.formatMsgNoLookups=true；
• 系統環境變量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設置為true；
• JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；
• 部署使用第三方防火墻產品進行安全防護，禁止系統主動外連網絡，包含不限于DNS、TCP/IP、ICMP。

國內各大安全廠商如啟明星辰、奇安信、新華三、360、騰訊安全等，其產品已經支持對該漏洞的檢測和防御，請廣大用戶也及時更新產品檢測規則。