漏洞简介
Apache Log4j2是一款Java日志框架,大量应用于业务系统开发。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞(CVE-2021-44228)。
Apache Log4j2远程代码执行漏洞由Lookup功能引发。Log4j2在默认情况下会开启Lookup功能,用于将特殊值添加到日志中。此功能中也支持对JNDI的Lookup,但由于Lookup对于加载的JNDI内容未做任何限制,使得攻击者可以通过JNDI注入实现远程加载恶意类到应用中,从而造成RCE(远程代码执行)。
影响版本
Apache Log4j 2.x < 2.15.0-rc2
环境搭建
docker pull vulfocus/log4j2-rce-2021-12-09 #拉取漏洞镜像
docker run -tid -p 38080:8080 vulfocus/log4j2-rce-2021-12-09 #开启环境