北京时间12月9号深夜,Apache Log4j2被曝出一个高危漏洞,攻击者通过jndi注入攻击的形式可以轻松远程执行任何代码。随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复,依然未能完全解决问题,现在已经更新到2.15.0-rc2。该漏洞被命名为Log4Shell,编号CVE-2021-44228。
高版本的jdk已修改默认配置,可以在一定程度上限制JNDI漏洞利用方式。在这些版本中
com.sun.jndi.ldap.object.trustURLCodebas设置为false,意味着jndi无法使用ldap加载远程代码。但是,还有其他针对此漏洞的攻击方式可能导致RCE。攻击者仍然可以利用服务器上的现有代码来进行有效攻击。
Log4j2是一款优秀的java日志框架,被大量用于业务开发,可能项目本身没有直接使用,但是引用的依赖包中仍然可能用到。只要用户输入的数据会被日志记录,就可被成功攻击。
影响范围Apache Log4j 2.x <= 2.15.1-rc1。
该漏洞于11月下旬由阿里云安全团队的chen zhaojun最先上报。
参考文章
解决方法Springboot项目修复这个bug,一行代码即可
在pom.xml中修改log4j2的版本即可,升级为2.15.0
1.8 2.15.0
