Apache Log4j2是一款優(yōu)秀的Java日志框架���。2021年11月24日,阿里云安全團隊向Apache官方報告了Apache Log4j2遠程代碼執(zhí)行漏洞。由于Apache Log4j2某些功能存在遞歸解析功能��,攻擊者可直接構(gòu)造惡意請求�,觸發(fā)遠程代碼執(zhí)行漏洞。漏洞利用無需特殊配置����,經(jīng)阿里云安全團隊驗證,Apache Struts2�����、Apache Solr��、Apache Druid���、Apache Flink等均受影響�����。2021年12月10日����,阿里云安全團隊發(fā)現(xiàn) Apache Log4j 2.15.0-rc1 版本存在漏洞繞過�,請及時更新至 Apache Log4j 2.15.0-rc2 版本�����。阿里云應急響應中心提醒 Apache Log4j2 用戶盡快采取安全措施阻止漏洞攻擊�。
Apache Log4j 遠程代碼執(zhí)行漏洞 嚴重
| 漏洞細節(jié) | 漏洞PoC | 漏洞EXP | 在野利用 |
公開
| 公開
| 公開
| 存在
|
經(jīng)驗證 2.15.0-rc1 版本存在繞過���,實際受影響范圍如下:
Apache Log4j 2.x < 2.15.0-rc2
1、排查應用是否引入了Apache Log4j2 Jar包���,若存在依賴引入�����,則可能存在漏洞影響�����。請盡快升級Apache Log4j2所有相關應用到最新的 log4j-2.15.0-rc2 版本����,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2�����、升級已知受影響的應用及組件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
文章來源:阿里云應急響應
