网络安全预警通报
2021年第11期 (总第27期)
西安交通大学网络信息中心 2021年12月30日
_____________________________________________
【预警类型】中危预警
【预警内容】
Apache log4j2 远程代码执行漏洞风险通告
安全公告编号: CVE-2021-44832
一、漏洞概述
Apache Log4j2 是一个基于Java的开源日志记录框架,该框架重写了Log4j框架,是其前身Log4j 1.x 的重写升级版,并且引入了大量丰富的特性,使用非常的广泛。该框架被大量用于业务系统开发,用来记录日志信息。
据官方描述,拥有修改日志配置文件权限的攻击者,可以构造恶意的配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,从而可通过该 JNDI URI 远程执行任意代码。
由于该漏洞要求攻击者拥有修改配置文件权限(通常需借助其他漏洞才可实现),非默认配置存在的问题,漏洞成功利用难度较大。
二、受影响的版本
2.0-beta7 =< Apache Log4j 2.x < 2.17.0(2.3.2 和 2.12.4 版本不受影响)
三、安全版本
Log4j >= 2.3.2 (Java 6)
Log4j >= 2.12.4 (Java 7)
Log4j >= 2.17.1 (Java 8 及更新版)
四、漏洞缓解措施
目前Apache Log4j2 官方已有可更新版本,漏洞实际风险一般,建议用户保持关注;如有需要,再酌情进行升级。
官方链接:
https://logging.apache.org/log4j/2.x/download.html
【备注】:建议您在升级前做好数据备份工作,避免出现意外
参考链接:
https://logging.apache.org/log4j/2.x/security.html
