2021年12月29日,腾讯云安全运营中心监测到,Apache Log4j2 官方发布公告提示其在某些特殊场景下存在远程代码执行漏洞,漏洞编号 CVE-2021-44832。该漏洞仅在攻击者拥有修改配置文件权限时才可远程执行任意代码,漏洞利用难度较大。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache Log4j2 是一个基于 Java 的开源日志记录框架,该框架重写了 Log4j 框架,是其前身 Log4j 1.x 的重写升级版,并且引入了大量丰富的特性,使用非常的广泛。该框架被大量用于业务系统开发,用来记录日志信息。
据官方描述,拥有修改日志配置文件权限的攻击者,可以构造恶意的配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,从而可通过该 JNDI URI 远程执行任意代码。
由于该漏洞要求攻击者拥有修改配置文件权限(通常需借助其他漏洞才可实现),非默认配置存在的问题,漏洞成功利用难度较大。
风险等级
中风险。
漏洞风险
可导致攻击者利用该漏洞远程执行任意代码。
影响版本
2.0-beta7 =< Apache Log4j 2.x < 2.17.0(2.3.2 和 2.12.4 版本不受影响)
安全版本
Apache Log4j 2.x >= 2.3.2 (Java 6)
Apache Log4j 2.x >= 2.12.4 (Java 7)
Apache Log4j 2.x >= 2.17.1 (Java 8 及更新版)
修复建议
注意
建议您在升级前做好数据备份工作,避免出现意外。
