联软安全公告—Apache Log4j2远程代码执行漏洞

2021年12月10日，国家信息安全漏洞共享平台（CNVD）收录了Apache Log4j2远程代码执行漏洞（CNVD-2021-95914）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞利用细节已公开，Apache官方已发布补丁修复该漏洞。CNVD建议受影响用户立即更新至最新版本，同时采取防范性措施避免漏洞攻击威胁。


漏洞详情
Apache Log4j2是一个基于Java的日志记录工具。最近该组件被发现存在一处远程代码执行漏洞，应用程序在处理日志时，会对会对用户输入的内容进行递归解析，攻击者可以构造特殊的请求，触发远程代码执行。该漏洞利用条件较少，且目前POC、EXP已公开，危害较大，建议使用该组件的用户做好安全加固。


漏洞风险等级

高危或严重

漏洞影响范围
漏洞影响的产品版本包括：
Apache Log4j2 2.0 - 2.15.0-rc1


修复建议

官方已发布修复版本修复了该漏洞，请受影响的用户尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2


注：Apache Log4j 2.15.0-rc1 版本存在漏洞绕过，请及时更新至 Apache Log4j 2.15.0-rc2 版本。


建议同时采用如下临时措施进行漏洞防范：

1）添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true；

2）在应用classpath下添加log4j2.component.properties配置文件，文件内容为log4j2.formatMsgNoLookups=true；

3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；

4）部署使用第三方防火墙产品进行安全防护。



漏洞检测&防范


1. 在漏洞公开后， 联软科技安全实验室人员第一时间响应，UniCSM网络空间资产测绘系统（SaaS）平台已支持针对该漏洞进行在线检测。

2. 联软已针对该漏洞已进行了相应的防范措施和解决方案，帮助企业抵御漏洞风险的侵入。



【参考链接】
1. 国家信息安全漏洞共享平台 (cnvd.org.cn)https://www.cnvd.org.cn/webinfo/show/7116