Apache Log4j-2任意代码执行漏洞
近日,金山云安全应急响应中心监测到Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
该漏洞细节已公开,存在在野利用行为,请使用 Apache Log4j2的业务线尽快按照下文修复建议进行处理,以免造成非必要损失。
漏洞详情
Apache Log4j2是Apache的一个开源项目,它允许开发者以任意间隔输出日志信息;可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等。
该漏洞是由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
风险等级
严重
影响范围
Log4j -2<= 2.15.0-rc1
修复建议
升级至安全版本
1. 升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2. 升级已知受影响的应用及组件,如spring-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid
临时处置建议-禁用lookup属性
1. 通过启动参数修改
l 2.10.0 以及以上版本,在java启动参数增加配置 -Dlog4j2.formatMsgNoLookups=true
l 2.9.x版本,升级至2.10.0,再进行配置
2. 通过配置文件修改
l 2.10.0以及以上版本在log4j2.component.properties配置文件中修改`log4j2.formatMsgNoLookups = true`
l 2.9.x版本,升级至2.10.0,再进行配置
注意:
禁用lookup功能,date,java,marker,ctx,main,jvmrunargs,sys,env,log4j等属性会被禁用。默认情况下使用`logger.info("Try ${date:YYYY-MM-dd}")`,会将`${date:YYYY-MM-dd}`打印成当前时间。
禁用lookup功能后,会将消息字符串保存原样,在日志中输出`Try ${date:YYYY-MM-dd}`。
参考连接