近日,腾讯云、阿里云等云厂商监测到Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

该漏洞细节已公开,存在在野利用行为,请使用 Apache Log4j2业务线尽快按照下文修复建议进行处理,以免造成非必要损失。

 

漏洞详情

Apache Log4j2Apache的一个开源项目,它允许开发者以任意间隔输出日志信息;可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等。

该漏洞是由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置Apache Struts2Apache SolrApache DruidApache Flink等均受影响。

 

风险等级

严重

 

影响范围

Log4j -2<= 2.14.1

 

修复建议

升级至安全版本

1. 升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc1 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

2. 升级已知受影响的应用及组件,如spring-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

 

临时处置建议-禁用lookup属性

1. 通过启动参数修改

2.10.0 以及以上版本,在java启动参数增加配置 -Dlog4j2.formatMsgNoLookups=true

2.9.x版本,升级至2.10.0,再进行配置

2.  通过配置文件修改

2.10.0以及以上版本在log4j2.component.properties配置文件中修改`log4j2.formatMsgNoLookups = true`

2.9.x版本,升级至2.10.0,再进行配置

注意:

禁用lookup功能,datejavamarkerctxmainjvmrunargssysenvlog4j等属性会被禁用。默认情况下使用`logger.info("Try ${date:YYYY-MM-dd}")`,会将`${date:YYYY-MM-dd}`打印成当前时间。

禁用lookup功能后,会将消息字符串保存原样,在日志中输出`Try ${date:YYYY-MM-dd}`

 

考连接

[1] https://github.com/apache/logging-log4j2

[2] https://github.com/apache/logging-log4j2/commit/7fe72d6

« 返回