紧急通告与解决方案 | Apache Log4j2 远程代码执行漏洞

漏洞描述

2021年12月9日，东软NetEye监测到Apache Log4j2远程代码执行漏洞细节已被公开，Apache Log4j2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。

由于Apache Log4j2广泛地应用在中间件、开发框架与Web应用中，漏洞利用门槛极低，危害很大，建议广大用户尽快排查相关漏洞。

漏洞复现

影响范围

Apache Log4j 2.x < 2.15.0-rc2

已知受影响应用及组件：

Apache Solr

Apache Flink

Apache Druid

srping-boot-strater-log4j2

自我排查建议

★ 版本排查

1.若程序使用Maven打包，查看项目的pom.xml文件中是否存在下图所示的相关字段，若版本号为小于2.15.0，则存在该漏洞。

2.若程序使用gradle打包，可查看build.gradle编译配置文件，若在dependencies部分存在org.apache.logging.log4j相关字段，且版本号为小于2.15.0，则存在该漏洞。

3.用户可根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构，判断是否使用了存在漏洞的组件，若存在相关Java程序包，则很可能存在该漏洞。

★ 漏洞检测

因该漏洞检测存在一定风险，如需检测漏洞，请联系东软NetEye 7*24小时热线 400-655-6789

安全建议

★ 缓解措施：

1.修改jvm参数 -Dlog4j2.formatMsgNoLookups=true     

2. 修改配置在应用classpath下添加log4j2.component.properties配置文件，log4j2.formatMsgNoLookups=true

3.将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

★ 升级到最新版本：

Apache Log4j 2.15.0-rc2

★ 升级jdk 11.0.1 8u191 7u201 6u211或更高版本

产品解决方案

★东软NetEye 入侵检测系统（IDS）已发布规则升级包，请相关用户升级规则，已形成安全产品防护能力。规则版本号：2.2.3.0。

下载链接：

http://neteye.neusoft.com/upload/files/20211210/1639117105317.zip

参考链接

https://github.com/apache/logging-log4j2

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc