2021年12月9日,国内多家机构监测到Apache Log4j存在任意代码执行漏洞,并紧急通报相关情况。由于Apache Log4j存在递归解析功能,未取得身份认证的用户,可以从远程发送数据请求输入数据日志,轻松触发漏洞,最终在目标上执行任意代码。鉴于Apache Log4j本身涉及多种应用组件,FreeBuf将漏洞等级评为「危险」。
漏洞时间线:
漏洞预警汇总:
以下厂商按首字母顺序排序
阿里云应急响应:
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。
https://help.aliyun.com/noticelist/articleid/1060971232.html
斗象科技:
攻击者可以通过发送精心构造的数据请求到受影响的应用来利用此漏洞。在应用使用Apache Log4j 作为日志组件,并对攻击者的恶意输入进行打印的情况下,将触发远程代码执行漏洞,经验证 Apache Log4j 2.x <= 2.14.1受该漏洞影响,目前,Apache Log4j 官方已发布 log4j-2.15.0-rc2修复版本,建议受影响用户,尽快升级到安全版本,并升级其它相关受影响应用及组件。
绿盟科技:
12月9日,绿盟科技CERT监测到网上披露Apache Log4j2 远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。
Apache Log4j2是一款开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中,用来记录日志信息。
默安科技:
Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写入日志中。
此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
奇安信:
Apache Log4j是Apache的一个开源项目,Apache log4j2是Log4j的升级版 本,我们可以控制日志信息输送的目的地为控制台、文件、GUI 组件等,通过定 义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞,经过分析, 该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发 此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
经奇安信CERT验证,Apache Struts2、Apache Solr、Apache Druid、Apach
e Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低, 奇安信 CERT 建议用户尽快参考缓解方案阻止漏洞攻击。
影响范围:
Apache Log4j 2.x <= 2.15.0-rc1
修复方案建议:
综合国内机构意见,目前针对Apache Log4j漏洞的主要应对方法如下:
1、Apache Log4j 官方已经发布了解决上述漏洞的安全更新,建议受影响用户尽快升级到安全版本:
安全版本:log4j-2.15.0-rc2
官方安全版本下载可以参考以下链接:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、建议对 Apache Struts2/Apache Solr/Apache Flink/Apache Druid 等已知受影响的应用及组件进行升级
临时缓解措施:
1.、禁止没有必要的业务访问外网
2、 使用jvm参数启动 -Dlog4j2.formatMsgNoLookups=true
3、设置 log4j2.formatMsgNoLookups=True
4、系统环境变量中将 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true