近期Apache Log4j2被暴露了一個嚴重的遠程代碼執行安全性漏洞,有嚴重的安全風險,請您儘快升級您的應用,避免因為安全性漏洞造成損失。
時間軸
- 2021年12月9日,阿里雲安全團隊發布Apache Log4j2遠程代碼執行漏洞(CVE-2021-44228)安全通告。
- 2021年12月10日,阿里雲安全團隊更建立議修複版本為Apache Log4j 2.15.0及以上版本。
- 2021年12月15日,阿里雲安全團隊更新安全建議,更建立議修複版本為Apache Log4j 2.16.0以及Apache Log4j 2.12.2安全版本。
漏洞描述
Apache Log4j2是一款優秀的Java日誌架構。近日,阿里雲安全團隊向Apache官方報告了Apache Log4j2遠程代碼執行漏洞。由於Apache Log4j2某些功能存在遞迴解析功能,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞。經阿里雲安全團隊驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。
漏洞評級
- CVE-2021-44228 Apache Log4j遠程代碼執行漏洞:嚴重
- CVE-2021-45046 Apache Log4j拒絕服務與遠程代碼執行漏洞:嚴重
影響範圍
使用Apache Log4j 2.0.0~2.15.0(包含2.15.0-rc1)之間所有版本的所有使用者。
安全建議
- 請儘快升級Apache Log4j2所有相關應用到最新的log4j-2.15.0版本,請參見Download Apache Log4j2。
- 升級已知受影響的應用及組件,例如spring-boot-starter-log4j2、Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。
- 臨時緩解方案。可升級JDK版本至6u211/7u201/8u191/11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。對於大於2.10版本的Log4j,可設定log4j2.formatMsgNoLookups為True,或者將JndiLookup類從classpath中去除,例如zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class。
相關連結
- 如果您的應用無法及時修複和驗證,可以立即開通和使用阿里雲ARMS RASP防護能力,確保您的應用免受攻擊。相關內容,請參見什麼是應用安全。