近日,某应急响应中心监测到Apache Log4j 2存在远程代码执行漏洞,经验证,该漏洞允许攻击者在目标服务器上执行任意代码,可导致服务器被黑客控制。由于Apache Log4j 2应用较为广泛,建议使用该组件的用户尽快采取安全措施。
应急响应中心已验证该漏洞的可利用性:
一、漏洞影响版本:
Apache Log4j2 <= 2.14.1
二、漏洞描述
Apache Log4j2是一个基于Java的日志记录工具,是对 Log4j 的升级。近日某应急响应中心监测到Apache Log4j 2存在远程代码执行漏洞,攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
三、处置建议
1.升级到最新版本:
请联系厂商获取修复后的官方版本:
https://github.com/apache/logging-log4j2
已发现官方修复代码,目前尚未正式发布:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
2.缓解措施:
(1). jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2). log4j2.formatMsgNoLookups=True
(3).系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
