漏洞详情
Apache Log4j2是Apache的一个开源项目,它允许开发者以任意间隔输出日志信息;可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等。
该漏洞是由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
风险等级
严重
影响范围
Log4j -2<= 2.14.1
修复建议
升级至安全版本
-
升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc1 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1 -
升级已知受影响的应用及组件,如spring-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid
临时处置建议-禁用lookup属性
1. 通过启动参数修改
2.10.0 以及以上版本,在java启动参数增加配置 -Dlog4j2.formatMsgNoLookups=true
2.9.x版本,升级至2.10.0,再进行配置
2. 通过配置文件修改
2.10.0以及以上版本在log4j2.component.properties配置文件中修改log4j2.formatMsgNoLookups = true
2.9.x版本,升级至2.10.0,再进行配置
注意:
禁用lookup功能,date,java,marker,ctx,main,jvmrunargs,sys,env,log4j等属性会被禁用。默认情况下使用logger.info("Try ${date:YYYY-MM-dd}"),会将${date:YYYY-MM-dd}打印成当前时间。
禁用lookup功能后,会将消息字符串保存原样,在日志中输出Try ${date:YYYY-MM-dd}。
|