近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞,经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
经奇安信CERT验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,奇安信CERT建议用户尽快参考缓解方案阻止漏洞攻击。
当前漏洞状态
细节是否公开 | PoC状态 | EXP状态 | 在野利用 |
已公开 | 已公开 | 已公开 | 已发现 |
漏洞描述
近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞,经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
经奇安信CERT验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,奇安信CERT建议用户尽快参考缓解方案阻止漏洞攻击。
Apache Log4j 任意代码执行漏洞
漏洞名称 | Apache Log4j 任意代码执行漏洞 | ||||
漏洞类型 | 代码执行 | 风险等级 | 紧急 | 漏洞ID | 暂无 |
公开状态 | 已发现 | 在野利用 | 已发现 | ||
漏洞描述 | Apache Log4j 是 Apache 的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。经过分析,Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 | ||||
参考链接 | |||||
https://github.com/apache/logging-log4j2 | |||||
奇安信 CERT 第一时间分析并复现了该漏洞,复现截图如下:
风险等级
奇安信 CERT风险评级为:严重
风险等级:蓝色(一般事件)
影响范围
Apache Log4j 2.x <= 2.14.2
处置建议
1.升级到最新版本:
请联系厂商获取修复后的官方版本:
https://github.com/apache/logging-log4j2
已发现官方修复代码,目前尚未正式发布:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2或采用奇安信产品解决方案来防护此漏洞。
2.缓解措施:
(1). jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2). log4j2.formatMsgNoLookups=True
(3).系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
参考资料
[1] https://github.com/apache/logging-log4j2
[2] https://github.com/apache/logging-log4j2/commit/7fe72d6
时间线
2021年12月09日,奇安信 CERT发布安全风险通告
2021年12月10日,奇安信 CERT发布安全风险通告第二次更新
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
