Apache Log4j2 远程代码执行漏洞说明

Posted 2022-01-06 天空卫士

12月9日，天空卫士了解到互联网正式披露Apache Log4j2具备远程代码执行漏洞，由于Apache Log4j2某些功能存在递归解析功能，未经身份验证的攻击者通过发送特别构造的数据请求包，可在目标服务器上执行任意代码。

Apache Log4j2是Apache软件基金会 Apache 日志服务项目的一部分，是几种 Java 日志框架之一。目前该日志框架已被广泛用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。Apache Log4j2 远程代码执行漏洞是由于组件存在 Java JNDI 注入漏洞：当程序将用户输入的数据记入日志时，攻击者通过构造特殊请求，来触发 Apache Log4j2 中的远程代码执行漏洞，从而利用此漏洞在目标服务器上执行任意代码。

当前受影响版本：

Apache Log4j 2.x <= 2.14.1

目前已知受影响应用及组件：

Apache Solr

Apache Flink

Apache Druid

srping-boot-strater-log4j2

据悉，此次 Apache Log4j2 远程代码执行漏洞风险已被业内评级为“高危”，且漏洞危害巨大，利用门槛极低。有报道称，目前众多Apache组件及大型应用均已经受到了影响。

目前，天空卫士管理控制台UCSS当前Apache Log4j2属于受影响的版本。但天空卫士提前为Web应用划定了独立受限的用户，攻击者无法利用该漏洞获得Root权限。

当前，天空卫士已于当日紧急发布补丁修复该漏洞，请联系天空卫士渠道或拨打400电话获得补丁进行更新。

END