tencent cloud

文档反馈

Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-45046)

最后更新时间:2022-06-23 11:14:26

    2021年12月17日,腾讯云安全运营中心监测到,Apache Log4j 由于非默认配置下对CVE-2021-44228修复措施不完善,导致在某些特殊配置场景下,可被攻击者利用造成远程代码执行攻击。

    为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

    漏洞详情

    Apache Log4j 2 是一个开源的日志记录组件,是 Apache Log4j 的升级版,它可以控制每一条日志的输出格式,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。

    继2021年12月9日被曝存在严重代码执行漏洞(CVE-2021-44228)后,Apache Log4j 官方近日又披露了另外一个远程执行漏洞(CVE-2021-45046),漏洞风险已从之前的 CVSS 3.7分上升到 CVSS 9.0分,该漏洞与非默认配置下对 CVE-2021-44228修复措施不完善有关,在线程上下文查找模式的某些非默认配置中,攻击者可以构造特定请求,实现远程代码执行。

    该漏洞也同时影响全球大量通用应用及组件,例如 :
    Apache Struts2
    Apache Solr
    Apache Druid
    Apache Flink
    Apache Dubbo
    Apache Kafka
    Spring-boot-starter-log4j2
    ElasticSearch
    Logstash

    建议及时检查并升级所有使用了 Log4j 组件的系统或应用。

    风险等级

    高风险(CVSS 评分:9.0)。

    漏洞风险

    可导致攻击者利用该漏洞远程执行任意代码。

    影响版本

    2.0-beta9 =< Apache Log4j 2.x < 2.16.0(2.12.2 版本不受影响)

    安全版本

    • Apache log4j 2.16.0 (Java 8)
    • Apache Log4j 2.12.2(Java 7)

    修复建议

    建议开展内部自查,检查业务应用是否引入了 Apache log4j-core Jar 包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响,可采取如下措施:

    注意:

    建议您在升级前做好数据备份工作,避免出现意外。

    升级到官方最新版本(推荐)

    目前官方已发布修复版本,用户可以根据自身情况升级或者将代码更新到该版本

    应用其他防护方案

    1. 对于暂时无法升级版本的用户,建议移除 log4j-core 包中 JndiLookup 类文件,并重启服务,可用以下命令:

      zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
      
    2. 通过安全组或防火墙限制受影响应用对外访问互联网。

    参考信息

    更多信息,请参见 官方安全更新公告

    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持