2021年12月10日，國家信息安全漏洞共享平臺（CNVD）收錄了Apache Log4j2遠程代碼執(zhí)行漏洞（CNVD-2021-95914）。攻擊者利用該漏洞，可在未授權(quán)的情況下遠程執(zhí)行代碼。目前，漏洞利用細節(jié)已公開，Apache官方已發(fā)布補丁修復(fù)該漏洞。CNVD建議受影響用戶立即更新至最新版本，同時采取防范性措施避免漏洞攻擊威脅。


漏洞詳情
Apache Log4j2是一個基于Java的日志記錄工具。最近該組件被發(fā)現(xiàn)存在一處遠程代碼執(zhí)行漏洞，應(yīng)用程序在處理日志時，會對會對用戶輸入的內(nèi)容進行遞歸解析，攻擊者可以構(gòu)造特殊的請求，觸發(fā)遠程代碼執(zhí)行。該漏洞利用條件較少，且目前POC、EXP已公開，危害較大，建議使用該組件的用戶做好安全加固。


漏洞風(fēng)險等級

高?；驀?yán)重

漏洞影響范圍
漏洞影響的產(chǎn)品版本包括：
Apache Log4j2 2.0 - 2.15.0-rc1


修復(fù)建議

官方已發(fā)布修復(fù)版本修復(fù)了該漏洞，請受影響的用戶盡快升級Apache Log4j2所有相關(guān)應(yīng)用到最新的 log4j-2.15.0-rc2 版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2


注：Apache Log4j 2.15.0-rc1 版本存在漏洞繞過，請及時更新至 Apache Log4j 2.15.0-rc2 版本。


建議同時采用如下臨時措施進行漏洞防范：

1）添加jvm啟動參數(shù)-Dlog4j2.formatMsgNoLookups=true；

2）在應(yīng)用classpath下添加log4j2.component.properties配置文件，文件內(nèi)容為log4j2.formatMsgNoLookups=true；

3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；

4）部署使用第三方防火墻產(chǎn)品進行安全防護。



漏洞檢測&防范


1. 在漏洞公開后， 聯(lián)軟科技安全實驗室人員第一時間響應(yīng)，UniCSM網(wǎng)絡(luò)空間資產(chǎn)測繪系統(tǒng)（SaaS）平臺已支持針對該漏洞進行在線檢測。

2. 聯(lián)軟已針對該漏洞已進行了相應(yīng)的防范措施和解決方案，幫助企業(yè)抵御漏洞風(fēng)險的侵入。



【參考鏈接】
1. 國家信息安全漏洞共享平臺 (cnvd.org.cn)https://www.cnvd.org.cn/webinfo/show/7116