一、漏洞描述
apache log4j 是 apache 的一个开源项目,apache log4j2是一个基于java的日志记录工具。该工具重写了log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、gui组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。
监测发现log4j-2中存在jndi注入漏洞,当程序将用户输入的数据被日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。apache struts2、apache solr、apache druid、apache flink等java组件均受影响。
二、影响版本
2.0 <= apache log4j 2 <= 2.14.1
排查方法:
1、可根据java jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件;
2、若程序使用maven打包,查看项目的pom.xml文件中是否存在“org.apache.logging.log4j”且版本号小于2.15.0,则存在漏洞。
三、修复建议
1、目前官方已发布安全版本,建议使用该组件的用户尽快采取安全措施,升级apache log4j 2至最新安全版本。下载地址:
2、临时缓解措施:
添加 jvm 启动参数 -dlog4j2.formatmsgnolookups=true。
在应用程序的 classpath 下添加 log4j2.component.properties 配置文件文件,文件内容:log4j2.formatmsgnolookups=true;
设置系统环境变量 format_messages_pattern_disable_lookups 设置为 true;
建议 jdk 使用 11.0.1、8u191、7u201、6u211 及以上的高版本;
限制受影响应用对外访问互联网。
