高危預警 || 海云安發布 Apache Log4j2 漏洞處置方案

Apache Log4j2是一款Java開源日志組件，該工具重寫了Log4j框架，該日志框架被大量用于業務系統開發，用來記錄日志信息。多數情況之下，開發者可能會將用戶輸入導致的錯誤信息寫入日志中。此漏洞的嚴重性、影響面，堪稱史上之最。攻擊者可以利用漏洞遠程執行代碼，最終獲得服務器的最高權限。

受影響版本

Apache Log4j 2.x < 2.15.0-rc2

已知受影響應用及組件

srping-boot-strater-log4j2

Apache Struts2

Apache Solr

Apache Flink

Apache Druid

ElasticSearch

Flume

Dubbo

Jedis

Logstash

Kafka

漏洞排查

若程序使用Maven打包，查看項目的pom.xml文件中是否存在下圖所示的相關字段，若版本號為小于2.15.0，則存在該漏洞。

若程序使用gradle打包，可查看build.gradle編譯配置文件，若在dependencies部分存在org.apache.logging.log4j相關字段，且版本號為小于2.15.0，則存在該漏洞。

漏洞防護升級版本

目前官方已發布測試版本修復該漏洞，受影響用戶可先將Apache Log4j2所有相關應用到該版本，下載鏈接：

https://github.com/apache/logging-log4j2/r...

海云安建議應急措施

1.在jvm參數中添加-Dlog4j2.formatMsgNoLookups=true

2.系統環境變量中將FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設置為true

3. 創建“log4j2.component.properties”文件，文件中增加配置“log4j2.formatMsgNoLookups=true”