· 漏洞描述
Apache Log4j2是一款非常优秀的Java日志框架,在各大Java项目中广泛应用。12月9日,Apache官方发布了紧急安全更新,修复了Apache Log4j2中发现的远程代码执行漏洞。
由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。漏洞风险评级为严重。
·影响版本
Apache Log4j 2.x
此前Apache官方发布的2.15.0-rc1版本可以绕过,同样在漏洞影响范围之内。
·漏洞复现
漏洞POC和EXP均已公开,目前已存在大量攻击实例。
·修复建议
1.升级Apache Log4j 2至最新安全版本2.15.0-rc2:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2.升级已知受影响的应用及组件,如spring-boot-starter-log4j2/ApacheStruts2/ApacheSolr/ApacheDruid/Apache Flink。
临时解决方案:
1.设置jvm参数"-Dlog4j2.formatMsgNoLookups=true";
2.设置系统环境变量
“FORMAT_MESSAGES_PATTERN_DIS-ABLE_LOOKU_PS"为"true”;
3.关闭应用的网络外连。
