官方声明:Zabbix不受Log4j漏洞的影响

01.Zabbix不受Log4j漏洞的影响

近期一个 Apache Log4j2 远程代码执行漏洞细节被公开，攻击者利用漏洞可以远程执行代码。

Zabbix官方第一时间对该漏洞进行验证。在此声明：Zabbix使用Java的唯一产品是Zabbix Java Gateway，而它不调用log4j组件，因此不受此漏洞的影响。

02.补救建议

Apache Log4j2中存在JNDI注入漏洞，当用户输入的数据被应用程序记录时，可能触发该漏洞，黑客可利用此漏洞在目标服务器上执行任意代码。

漏洞概述

漏洞名称 : Apache Log4j2远程代码执行漏洞

组件名称 : Apache Log4j2

影响版本 : 2.0 ≤Apache Log4j ≤ 2.14.1

漏洞类型 : 远程代码执行

利用条件 :

（1）用户认证：不需要用户认证

（2）前置条件：默认配置

（3）触发方式：远程

综合评价 :

<综合评定利用难度>：容易，无需授权即可远程代码执行。

<综合评定威胁等级>：严重，能造成远程代码执行。

影响范围：

Apache Log4j2广泛地应用在中间件、开发框架、Web应用中。漏洞危害性高，涉及用户量较大，导致漏洞影响力巨大。

补救建议

Zabbix官方还对在其他Java应用程序中使用log4j组件的客户提出以下建议以降低CVE-2021-44228的风险：

1. 升级到Apache log4j-2.1.50.rc2，版本越低受攻击的可能性越高；
2. 对于Log4j 2.10.0或更高版本，通过设置 "log4j2.formatMsgNoLookups=True"来阻止JNDI向不受信任的服务器发请求，以防止LDAP和其他查询。
3. 将com.sun.jndi.rmi.object.trustURLCodebase 和com.sun.jndi.cosnaming.object.trustURLCodebase 的值设置为“FALSE”，以防止Java 8u121中的远程代码执行攻击。

附：

1. Zabbix官方声明

https://blog.zabbix.com/zabbix-not-affected-by-the-log4j-exploit/17873/

2. Apache官方补丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2