漏洞性質(zhì)：

任意代碼執(zhí)行

漏洞描述：

Apache Log4j 是 Apache 的一個開源項目，Apache Log4j2是一個基于Java的日志記錄工具。該工具重寫了Log4j框架，并且引入了大量豐富的特性。我們可以控制日志信息輸送的目的地為控制臺、文件、GUI組件等，通過定義每一條日志信息的級別，能夠更加細(xì)致地控制日志的生成過程。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄日志信息。log4j2是全球使用廣泛的java日志框架，同時該漏洞還影響很多全球使用量的Top序列的通用開源組件，例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。

漏洞危害：

Log4j-2中存在JNDI注入漏洞，當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)被日志記錄時，即可觸發(fā)此漏洞，成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼，可能對用戶造成不可挽回的損失。

影響版本：

Apache Log4j 2.x <= 2.14.1

檢測方案：

①由于攻擊者在攻擊過程中可能使用 DNSLog 進(jìn)行漏洞探測，建議企業(yè)可以通過流量監(jiān)測設(shè)備監(jiān)控是否有相關(guān) DNSLog 域名的請求。

②我們建議企業(yè)可以通過監(jiān)測相關(guān)流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符來發(fā)現(xiàn)可能的攻擊行為。

臨時修復(fù)方案：

①修改jvm參數(shù) -Dlog4j2.formatMsgNoLookups=true

②修改配置

log4j2.formatMsgNoLookups=True

③將系統(tǒng)環(huán)境變量

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設(shè)置為 true

修復(fù)建議：

1、廠商已發(fā)布升級修復(fù)漏洞，用戶請盡快更新至安全版本：log4j-2.15.0-rc1

下載鏈接：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

2、升級已知受影響的應(yīng)用及組件，如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

3、手動替換 log4j2 版本為 2.15.1-SNAPSHOT

log4j-core:https://repository.apache.org/content/groups/snapshots/org/apache/logging/log4j/log4j-core/2.15.1-SNAPSHOT/log4j-core-2.15.1-20211209.191737-4.jar

log4j-api:

https://repository.apache.org/content/groups/snapshots/org/apache/logging/log4j/log4j-api/2.15.1-SNAPSHOT/log4j-api-2.15.1-20211209.191737-4.jar

log4j-slf4j18-impl:https://repository.apache.org/content/groups/snapshots/org/apache/logging/log4j/log4j-slf4j18-impl/2.15.1-SNAPSHOT/log4j-slf4j18-impl-2.15.1-20211209.191737-4.jar