2021年12月10日，國家信息安全漏洞共享平臺(tái)（CNVD）收錄了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2021-95914）。攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼。目前，漏洞利用細(xì)節(jié)已公開，Apache官方已發(fā)布補(bǔ)丁修復(fù)該漏洞。CNVD建議受影響用戶立即更新至最新版本，同時(shí)采取防范性措施避免漏洞攻擊威脅。


漏洞詳情
Apache Log4j2是一個(gè)基于Java的日志記錄工具。最近該組件被發(fā)現(xiàn)存在一處遠(yuǎn)程代碼執(zhí)行漏洞，應(yīng)用程序在處理日志時(shí)，會(huì)對(duì)會(huì)對(duì)用戶輸入的內(nèi)容進(jìn)行遞歸解析，攻擊者可以構(gòu)造特殊的請(qǐng)求，觸發(fā)遠(yuǎn)程代碼執(zhí)行。該漏洞利用條件較少，且目前POC、EXP已公開，危害較大，建議使用該組件的用戶做好安全加固。


漏洞風(fēng)險(xiǎn)等級(jí)

高?；驀?yán)重

漏洞影響范圍
漏洞影響的產(chǎn)品版本包括：
Apache Log4j2 2.0 - 2.15.0-rc1


修復(fù)建議

官方已發(fā)布修復(fù)版本修復(fù)了該漏洞，請(qǐng)受影響的用戶盡快升級(jí)Apache Log4j2所有相關(guān)應(yīng)用到最新的 log4j-2.15.0-rc2 版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2


注：Apache Log4j 2.15.0-rc1 版本存在漏洞繞過，請(qǐng)及時(shí)更新至 Apache Log4j 2.15.0-rc2 版本。


建議同時(shí)采用如下臨時(shí)措施進(jìn)行漏洞防范：

1）添加jvm啟動(dòng)參數(shù)-Dlog4j2.formatMsgNoLookups=true；

2）在應(yīng)用classpath下添加log4j2.component.properties配置文件，文件內(nèi)容為log4j2.formatMsgNoLookups=true；

3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；

4）部署使用第三方防火墻產(chǎn)品進(jìn)行安全防護(hù)。



漏洞檢測(cè)&防范


1. 在漏洞公開后， 聯(lián)軟科技安全實(shí)驗(yàn)室人員第一時(shí)間響應(yīng)，UniCSM網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪系統(tǒng)（SaaS）平臺(tái)已支持針對(duì)該漏洞進(jìn)行在線檢測(cè)。

2. 聯(lián)軟已針對(duì)該漏洞已進(jìn)行了相應(yīng)的防范措施和解決方案，幫助企業(yè)抵御漏洞風(fēng)險(xiǎn)的侵入。



【參考鏈接】
1. 國家信息安全漏洞共享平臺(tái) (cnvd.org.cn)https://www.cnvd.org.cn/webinfo/show/7116