目录
Apache Log4j 2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。
此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。该漏洞一旦被攻击者利用会造成严重危害。经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重,我们建议企业第一时间启动应急响应进行修复。该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。
一、漏洞描述
Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
二、受影响版本
Apache Log4j 2.x <= 2.15.0-rc2
三、已知受影响应用及组件
Apache Solr,Apache Flink,Apache Druid,srping-boot-strater-log4j2,dubbo,flume,Redis
更多组件可参考如下链接:https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1
四、漏洞级别
高危、远程代码执行
通过JNDI