【漏洞详情】
Apache Log4j 是 Apache 的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
影响判断方式:用户只需排查Java应用是否引入 log4j-core 这个jar。若存在应用使用,极大可能会受到影响。
【风险评级】
高危
【影响范围】
Apache Log4j 2.x < 2.15.0-rc2
部分1.X版本可被绕过
包括但不限于如下:
Spring-Boot-strater-log4j2,
Apache Struts2
Apache Solr
Apache Flink
Apache Druid
ElasticSearch
flume
dubbo
Redis
logstash
kafka
【修复建议】
1、升级最新版本:
将 log4j 升级到 2.15.0 及以上版本,下载地址:https://github.com/apache/logging-log4j2/tags
2、紧急缓解措施:
临时修复建议:(2.10之前的版本使用改缓解措施无效)
2.1修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
2.2修改配置log4j2.formatMsgNoLookups=True
2.3将系统环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS设置为true(LOG4J_FORMAT_MSG_NO_LOOKUPS=true)
【参考链接】
https://github.com/apache/logging-log4j2
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2021年12月10日