Apache Log4j2是一款優(yōu)秀的Java日志框架�。2021年11月24日,阿里云安全團(tuán)隊(duì)向Apache官方報(bào)告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。由于Apache Log4j2某些功能存在遞歸解析功能,攻擊者可直接構(gòu)造惡意請求,觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。漏洞利用無需特殊配置�,經(jīng)阿里云安全團(tuán)隊(duì)驗(yàn)證���,Apache Struts2��、Apache Solr����、Apache Druid、Apache Flink等均受影響��。2021年12月10日�,阿里云安全團(tuán)隊(duì)發(fā)現(xiàn) Apache Log4j 2.15.0-rc1 版本存在漏洞繞過��,請及時(shí)更新至 Apache Log4j 2.15.0-rc2 版本���。阿里云應(yīng)急響應(yīng)中心提醒 Apache Log4j2 用戶盡快采取安全措施阻止漏洞攻擊���。
Apache Log4j 遠(yuǎn)程代碼執(zhí)行漏洞 嚴(yán)重
| 漏洞細(xì)節(jié) | 漏洞PoC | 漏洞EXP | 在野利用 |
公開
| 公開
| 公開
| 存在
|
經(jīng)驗(yàn)證 2.15.0-rc1 版本存在繞過,實(shí)際受影響范圍如下:
Apache Log4j 2.x < 2.15.0-rc2
1���、排查應(yīng)用是否引入了Apache Log4j2 Jar包�����,若存在依賴引入��,則可能存在漏洞影響�����。請盡快升級(jí)Apache Log4j2所有相關(guān)應(yīng)用到最新的 log4j-2.15.0-rc2 版本�����,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2��、升級(jí)已知受影響的應(yīng)用及組件�����,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
文章來源:阿里云應(yīng)急響應(yīng)
