Apache Log4j 是Apache 的一個開源項目,Apache Log4j2是一個基于Java的日志記錄工具����。該工具重寫了Log4j框架��,并且引入了大量豐富的特性����。我們可以控制日志信息輸送的目的地為控制臺����、文件、GUI組件等��,通過定義每一條日志信息的級別���,能夠更加細(xì)致地控制日志的生成過程。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā)�,用來記錄日志信息。
Log4j-2中存在JNDI注入漏洞���,當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)被日志記錄時���,即可觸發(fā)此漏洞���,成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼。Apache Struts2���、Apache Solr��、Apache Druid����、Apache Flink等均受影響�����。
影響版本:Apache Log4j 2.x <= 2.15.0-rc2
鑒于該風(fēng)險影響范圍廣�,利用門檻極低,潛在危害程度高�,請各單位高度重視,迅速組織排查本單位重要信息系統(tǒng)是否存在使用Log4j框架的情況��。如存在相關(guān)情況�,請及時開展整改加固及安全監(jiān)測工作,并立即采取以下應(yīng)對措施�����。
一是排查已知受影響的應(yīng)用及組件,涉及srping-boot-strater-log4j2��、Apache Solr���、Apache Flink�、Apache Druid等��。
二是升級Apache Log4j2所有相關(guān)應(yīng)用到最新的log4j-2.15.0-rc2 版本����,升級地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。
三是加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測�����,發(fā)現(xiàn)安全事件及時上報處置并及時報告網(wǎng)絡(luò)中心�。
網(wǎng)絡(luò)中心
2021年12月10日
