安全公告編號:CNTA-2021-0032
2021年12月10日,國家信息安全漏洞共享平臺(CNVD)收錄了Apache Log4j2遠程代碼執行漏洞(CNVD-2021-95914)。攻擊者利用該漏洞,可在未授權的情況下遠程執行代碼。目前,漏洞利用細節已公開,Apache官方已發布補丁修復該漏洞。CNVD建議受影響用戶立即更新至最新版本,同時采取防范性措施避免漏洞攻擊威脅。
一、漏洞情況分析
Apache Log4j是一個基于Java的日志記錄組件。Apache Log4j2是Log4j的升級版本,通過重寫Log4j引入了豐富的功能特性。該日志組件被廣泛應用于業務系統開發,用以記錄程序輸入輸出日志信息。
由于Log4j2組件在處理程序日志記錄時存在JNDI注入缺陷,未經授權的攻擊者利用該漏洞,可向目標服務器發送精心構造的惡意數據,觸發Log4j2組件解析缺陷,實現目標服務器的任意代碼執行,獲得目標服務器權限。
CNVD對該漏洞的綜合評級為“高危”。
二、漏洞影響范圍
漏洞影響的產品版本包括:
Apache Log4j2 2.0 - 2.15.0-rc1
三、漏洞處置建議
目前,Apache官方已發布新版本完成漏洞修復,CNVD建議用戶盡快進行自查,并及時升級至最新版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
建議同時采用如下臨時措施進行漏洞防范:
1)添加jvm啟動參數-Dlog4j2.formatMsgNoLookups=true;
2)在應用classpath下添加log4j2.component.properties配置文件,文件內容為log4j2.formatMsgNoLookups=true;
3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;
4)部署使用第三方防火墻產品進行安全防護。
建議使用如下相關應用組件構建網站的信息系統運營者進行自查,如Apache Struts2、Apache Solr、Apache Druid、Apache Flink等,發現存在漏洞后及時按照上述建議進行處置。
津公網備案:12019202000211
