【漏洞通告】Apache Log4j2 远程代码执行漏洞（CVE-2021-44228/CVE-2021-45046）

Linux运维技术之路

发布于 2022-06-07 09:36:46

2.3K00

代码可运行

运行总次数：0

代码可运行

近日，阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。2021年12月10日，阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过。2021年12月15日，Apache官方发布Log4j 2.16.0 以及 2.12.2 版本，修复CVE-2021-45046 Apache Log4j 拒绝服务与远程代码执行漏洞。

时间线

2021年12月9日，阿里云安全团队发布 Apache Log4j2 远程代码执行漏洞（CVE-2021-44228）安全通告
2021年12月10日，阿里云安全团队发现绕过，更新建议修复版本为 Apache Log4j 2.15.0 及其以上。
2021年12月15日，阿里云安全团队更新安全建议，更新建议修复版本为 Apache Log4j 2.16.0 以及 Apache Log4j 2.12.2 安全版本。
最新安全问题请关注

漏洞描述

Apache Log4j2是一款优秀的Java日志框架。近日，阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日，阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过，2021年12月15日，Apache官方发布Log4j 2.16.0 以及 2.12.2 版本，修复CVE-2021-45046 Apache Log4j 拒绝服务与远程代码执行漏洞。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

漏洞评级

CVE-2021-44228 Apache Log4j 远程代码执行漏洞严重

CVE-2021-45046 Apache Log4j 拒绝服务与远程代码执行漏洞严重

影响版本


注：Apache Log4j 1.x 版本不受此次漏洞影响。


CVE-2021-44228 Apache Log4j 远程代码执行漏洞：

Apache Log4j 2.x >=2.0-beta9 且 < 2.15.0 （2.12.2 版本不受影响）


CVE-2021-45046 Apache Log4j 拒绝服务与远程代码执行漏洞：

Apache Log4j 2.x >=2.0-beta9 且 < 2.16.0（2.12.2 版本不受影响）

安全建议（以下任何修复方案均需要重启应用）

1、排查应用是否引入了Apache log4j-core Jar包，若存在依赖引入，且在受影响版本范围内，则可能存在漏洞影响。同时为了避免在Apache Log4j 2.15.0版本中某些自定义配置而可能导致的JNDI注入或拒绝服务攻击，请尽快升级Apache Log4j2所有相关应用到 2.16.0 或者 2.12.2 及其以上版本，地址 https://logging.apache.org/log4j/2.x/download.html 。
2、对于 Java 8 及其以上用户，建议升级 Apache Log4j2 至 2.16.0 版本。
3、对于 Java 7 用户，建议升级至 Apache Log4j 2.12.2 版本，该版本为安全版本，用于解决兼容性问题。
4、对于其余暂时无法升级版本的用户，建议删除JndiLookup，可用以下命令

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

5、升级已知受影响的应用及组件，如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
6、其余临时缓解方案可参见 https://logging.apache.org/log4j/2.x/security.html 。目前已有安全版本，强烈建议不要采用临时缓解方案进行防御。