「漏洞通告」Apache Log4j 远程代码执行漏洞

【漏洞描述】

Apache Log4j 是 Apache 的一个基于Java日志记录工具的开源项目。该工具重写了Log4j框架，并且引入了大量丰富的特性。Apache Log4j 2是对Log4j的升级，它比其前身Log4j 1.x提供了重大改进，并提供了Logback中可用的许多改进，同时修复了Logback架构中的一些问题，是目前最优秀的Java日志框架。

Apache Log4j-2中某些功能的递归解析中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。漏洞利用无需特殊配置，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

【漏洞评级】

Apache Log4j 远程代码执行漏洞 严重

【影响版本】

Apache Log4j 2.x <= 2.14.1

【利用难度】

1、受影响应用默认配置即含有漏洞；

2、无需认证或其他前置条件，直接利用；

3、漏洞利用成功可直接远程命令执行；

【解决方案】

1、如何确认Apache Log4j2相关组件版本

打开项目的pom.xml文件，查看log4j-core的version字段

2、升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc1 版本，地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

3、升级已知受影响的应用及组件，如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

【安全监测】

睿眼系列攻击溯源系统本身具备对jndi注入、dnslog等攻击手法等行为的检测识别，在不升级版本的前提下依然可以有效检测。

为防止变种绕过，已添加针对性检测规则，推荐使用睿眼系列攻击溯源系统的用户，可访问【睿眼系列产品更新平台】（http://update.zorelworld.com:8888/），输入设备key，获取最新程序&检测规则更新包。