Apache Log4j2是一款优秀的java开源日志框架,使用非常广泛。2021年12月9日,Apache Log4j2爆出存在远程代码执行漏洞,由于Apache Log4j2广泛地应用在各种Web程序中,该漏洞涉及用户量较大,危害性非常高。
目前,灰度安全先知·智能风险评估系统已更新POC库,全面支持对Log4j任意代码执行漏洞的检测。
版本影响
Apache Log4j2 2.0 ~ 2.15.0-rc1
漏洞复现
漏洞分析
Debug查看漏洞执行时的程序调用链,如下图所示:
Log4j在解析日志时,会判断日志内容中是否包含${}符号,如果存在,就会对{}标签中的内容进行特殊解析处理,可以通过ldap协议远程加载类。
临时解决方案
1、目前,Apache官方已发布新版本完成漏洞修复,建议用户尽快进行自查,并及时升级至最新版本,下载地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、建议同时采用如下临时措施进行漏洞防范:
1)添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true;
2)在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;
3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;
4)部署使用第三方防火墙产品进行安全防护。
声明:
本文仅用于技术研究,不恰当使用会造成危害,严禁违法使用 ,否则后果自负。
