一、Log4j2介紹
Apache Log4j2是一款優(yōu)秀的Java日志框架。該工具重寫了Log4j框架，并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄日志信息。

二、Log4j2漏洞描述
漏洞名稱：Apache Log4j2 遠程代碼執(zhí)行漏洞。

Apache Log4j2某些功能存在遞歸解析功能，攻擊者可直接構(gòu)造惡意請求，觸發(fā)遠程代碼執(zhí)行漏洞。

三、漏洞評級
嚴重。

四、漏洞危害
漏洞利用無需特殊配置，攻擊者可直接構(gòu)造惡意請求，觸發(fā)遠程代碼執(zhí)行漏洞。
利用門檻極低。存在于方方面面，只要你打印了某些東西，這些東西又能被構(gòu)造的話，就會發(fā)生問題。

五、影響版本
Apache Log4j 2.x <= 2.15.0-rc1

六、已知受影響應(yīng)用及組件：
Apache Solr
Apache Flink
Apache Druid
srping-boot-starter-log4j2

七、人工檢測
1. 可根據(jù)Java jar解壓后是否存在org/apache/logging/log4j相關(guān)路徑結(jié)構(gòu)，判斷是否使用了存在漏洞的組件，若存在相關(guān)Java程序包，則很可能存在該漏洞。

2. 若程序使用Maven打包，查看項目的pom.xml文件中是否存在log4j2相關(guān)依賴，若版本號為小于2.15.0，則存在該漏洞。

八、修復(fù)措施
建議排查Java應(yīng)用是否引入log4j-api , log4j-core 兩個jar，若存在使用，極大可能會受到影響，強烈建議受影響用戶盡快進行防護 。

log4j-2.15.0-rc1發(fā)布了緊急補丁。但不久又被發(fā)現(xiàn)依然存在新的問題。

據(jù) Apache 官方最新信息顯示，release 頁面上已經(jīng)更新了 Log4j 2.15.0 版本，主要是那個log4j-core包，漏洞就是在這個包里產(chǎn)生的，如果你的程序有用到，盡快緊急升級。
現(xiàn)在網(wǎng)上公開的倉庫還下載不到解決漏洞的Log4j2 2.15.0版本，需要自己編譯源碼獲取Jar包。

Log4j 2.15.0版本，地址 https://github.com/apache/logging-log4j2/releases/tag/rel/2.15.0

九、臨時解決方案
1. 設(shè)置jvm參數(shù) “-Dlog4j2.formatMsgNoLookups=true”
2. 設(shè)置“l(fā)og4j2.formatMsgNoLookups=True”
3. 系統(tǒng)環(huán)境變量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設(shè)置為“true”
4. 關(guān)閉對應(yīng)應(yīng)用的網(wǎng)絡(luò)外連，禁止主動外連

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:網(wǎng)絡(luò)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責(zé)人：張明