apache log4j2存在远程代码执行漏洞预警-k8凯发天生赢家一触即发人生

近日，国家信息安全漏洞共享平台（cnvd）收录了apachelog4j2远程代码执行漏洞（cnvd-2021-95919）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞利用细节已公开，apache官方已发布补丁修复该漏洞。建议受影响用户立即更新至最新版本，同时采取防范性措施避免漏洞攻击威胁。

一、基本情况

apachelog4j是一个基于java的日志记录组件。apachelog4j2是log4j的升级版本，通过重写log4j引入了丰富的功能特性。该组件存在javajndi注入漏洞，当程序将用户输入的数据进行日志记录，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

二、影响分析

由于log4j2组件在处理程序日志记录时存在jndi注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，触发log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。

cnvd对该漏洞的综合评级为“高危”。

漏洞影响的产品版本包括：

apachelog4j2>=2.0，<=2.15.0-rc1

三、处置建议

目前，apache官方已发布新版本完成漏洞修复，建议用户尽快进行自查，并及时升级至最新版本：

https://logging.apache.org/log4j/2.x/download.html。

建议同时采用如下临时措施进行漏洞防范：

1）添加jvm启动参数-dlog4j2.formatmsgnolookups=true；

2）在应用classpath下添加log4j2.component.properties配置文件，文件内容为log4j2.formatmsgnolookups=true；

3）jdk使用11.0.1、8u191、7u201、6u211及以上的高版本；

4）部署使用第三方防火墙产品进行安全防护。

建议使用如下相关应用组件构建网站的信息系统运营者进行自查，如apachestruts2、apachesolr、apachedruid、apacheflink等，发现存在漏洞后及时按照上述建议进行处置。

四、参考链接

https://www.cnvd.org.cn/webinfo/show/7116

https://logging.apache.org/log4j/2.x/