【漏洞预警】Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)
Dec 16, 2021
2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 正式版本。
时间线
- 2021年12月9日,阿里云安全团队发布 Apache Log4j2 远程代码执行漏洞(CVE-2021-44228) 安全通告
- 2021年12月10日,阿里云安全团队发现绕过,更新建议修复版本为 Apache Log4j 2.15.0 及其以上。
- 2021年12月15日,阿里云安全团队更新安全建议,新增 Apache Log4j 2.12.2 安全版本。
漏洞描述
Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 正式版本。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。
漏洞评级
CVE-2021-44228 Apache Log4j 远程代码执行漏洞 严重
影响版本
Apache Log4j 2.x >=2.0-beta9 且 < 2.15.0
注:Apache Log4j 1.x 版本不受此次漏洞影响。
安全建议
1、排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到安全 log4j-2.15.0 及其以上版本,地址 https://logging.apache.org/log4j/2.x/download.html 。
2、对于 Java 8 及其以上用户,建议升级 Apache Log4j2 至 2.16.0 版本。
3、对于 Java 7 用户,建议升级至 Apache Log4j 2.12.2 版本,该版本为安全版本,用于解决兼容性问题。
4、对于其余暂时无法升级版本的用户,建议删除JndiLookup,可用以下命令 zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
5、升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
6、其余临时缓解方案可参见 https://logging.apache.org/log4j/2.x/security.html 。目前已有安全版本,强烈建议不要采用临时缓解方案进行防御。
相关链接
1、https://logging.apache.org/log4j/2.x/security.html
2、https://github.com/advisories/GHSA-jfh8-c2jp-5v3q
3、https://avd.aliyun.com/detail?id=AVD-2021-920285
阿里云安全产品可以防护该漏洞:
Web应用防火墙可以防护该漏洞,并且我们提供了7天免费漏洞应急服务为您争取漏洞修复的时间。申请地址为:https://www.alibabacloud.com/campaign/free-attack-support。
我们会关注后续进展,请随时关注官方公告。
如有任何问题,可随时通过工单联系反馈。
阿里云应急响应中心
2021.12.10
时间线
- 2021年12月9日,阿里云安全团队发布 Apache Log4j2 远程代码执行漏洞(CVE-2021-44228) 安全通告
- 2021年12月10日,阿里云安全团队发现绕过,更新建议修复版本为 Apache Log4j 2.15.0 及其以上。
- 2021年12月15日,阿里云安全团队更新安全建议,新增 Apache Log4j 2.12.2 安全版本。
漏洞描述
Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 正式版本。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。
漏洞评级
CVE-2021-44228 Apache Log4j 远程代码执行漏洞 严重
影响版本
Apache Log4j 2.x >=2.0-beta9 且 < 2.15.0
注:Apache Log4j 1.x 版本不受此次漏洞影响。
安全建议
1、排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到安全 log4j-2.15.0 及其以上版本,地址 https://logging.apache.org/log4j/2.x/download.html 。
2、对于 Java 8 及其以上用户,建议升级 Apache Log4j2 至 2.16.0 版本。
3、对于 Java 7 用户,建议升级至 Apache Log4j 2.12.2 版本,该版本为安全版本,用于解决兼容性问题。
4、对于其余暂时无法升级版本的用户,建议删除JndiLookup,可用以下命令 zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
5、升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
6、其余临时缓解方案可参见 https://logging.apache.org/log4j/2.x/security.html 。目前已有安全版本,强烈建议不要采用临时缓解方案进行防御。
相关链接
1、https://logging.apache.org/log4j/2.x/security.html
2、https://github.com/advisories/GHSA-jfh8-c2jp-5v3q
3、https://avd.aliyun.com/detail?id=AVD-2021-920285
阿里云安全产品可以防护该漏洞:
Web应用防火墙可以防护该漏洞,并且我们提供了7天免费漏洞应急服务为您争取漏洞修复的时间。申请地址为:https://www.alibabacloud.com/campaign/free-attack-support。
我们会关注后续进展,请随时关注官方公告。
如有任何问题,可随时通过工单联系反馈。
阿里云应急响应中心
2021.12.10
