Log4j2 重大漏洞！上萬個項(xiàng)目中槍...

大家好，我是 Guide。今天一大早就看到群里有小伙伴說 Log4j2 的遠(yuǎn)程代碼執(zhí)行漏洞的事情，在這里再提示一下，以防有小伙伴還沒有看到。

Apache 這次又要背鍋了，這漏洞的影響范圍太廣（絕大部分公司都會受影響），又是一個可以載入歷史的漏洞。

漏洞描述

Apache Log4j2 是一款優(yōu)秀的 Java 日志框架。2021 年 11 月 24 日，阿里云安全團(tuán)隊(duì)向 Apache 官方報(bào)告了 Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞。由于 Apache Log4j2 某些功能存在遞歸解析功能，攻擊者可直接構(gòu)造惡意請求，觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。

由于 Log4j2 作為日志記錄基礎(chǔ)第三方庫，被大量 Java 框架及應(yīng)用使用，只要用到 Log4j2 進(jìn)行日志輸出且日志內(nèi)容能被攻擊者部分可控，即可能會受到漏洞攻擊影響。因此，該漏洞也同時影響全球大量通用應(yīng)用及組件，例如：

• Apache Struts2
• Apache Solr
• Apache Druid
• Apache Flink
• Apache Flume
• Apache Dubbo
• Apache Kafka
• Spring-boot-starter-log4j2
• ElasticSearch
• Redis
• Logstash
• …

建議及時檢查并升級所有使用了 Log4j 組件的系統(tǒng)或應(yīng)用。

漏洞評級

Apache Log4j 遠(yuǎn)程代碼執(zhí)行漏洞，嚴(yán)重！

金山毒霸直接把這次漏洞等級設(shè)置為了最高級。

影響版本

經(jīng)驗(yàn)證 2.15.0-rc1 版本存在繞過，實(shí)際受影響范圍如下：

Apache Log4j 2.x < 2.15.0-rc2

安全建議

1、排查應(yīng)用是否引入了 Apache log4j-core Jar 包，若存在依賴引入，且在受影響版本范圍內(nèi)，則可能存在漏洞影響。請盡快升級 Apache Log4j2 所有相關(guān)應(yīng)用到最新的 log4j-2.15.0-rc2 版本，地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、升級已知受影響的應(yīng)用及組件，如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

3、可升級 jdk 版本至 6u211 / 7u201 / 8u191 / 11.0.1 以上，可以在一定程度上限制 JNDI 等漏洞利用方式。

相關(guān)鏈接

1、https://github.com/apache/logging-log4j2

2、https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues