安全风险通告

第1章 安全通告

 近日，相关机构监测到 Apache Log4j 存在任意代码执行漏洞，经过分析，该组件存在 Java JNDI 注入漏洞，当程序将用户输入的数据进行日志，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

经验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等众多组件与大型应用均受影响，鉴于此漏洞危害巨大，利用门槛极低，建议尽快参考缓解方案阻止漏洞攻击。

当前漏洞状态：

第2章 漏洞信息

2.1 漏洞描述

Apache Log4j 是 Apache 的一个开源项目，Apache log4j2 是 Log4j 的升级版本，我们可以控制日志信息输送的目的地为控制台、文件、GUI 组件等，通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。

近日，奇安信 CERT 监测到 Apache Log4j 存在任意代码执行漏洞，经过分析，该组件存在 Java JNDI 注入漏洞，当程序将用户输入的数据进行日志，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。经验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等众多组件与大型应用均受影响，鉴于此漏洞危害巨大，利用门槛极低，建议尽快参考缓解方案阻止漏洞攻击。

Apache Log4j 任意代码执行漏洞

2.2 风险等级

紧急

第3章 影响范围

Apache Log4j 2.x < 2.15.0-rc2 

第4章 处置建议

1. 漏洞排查

1）排查应用是否引入了 Apache Log4j2 Jar 包，若存在依赖引入，则可能存在漏洞影响。 相关用户可根据 Java JAR 解压后是否存在org/apache/logging/log4j 相关路径结构，判断是否使用了存在漏洞的组件，若存在相关 Java 程序 包，则极可能存在该漏洞。

2） 若程序使用 Maven 打包，查看项目的 pom.xml 文件中是否存在如下图

所示的相关字段，若版本号为小于 2.15.0-rc2，则存在该漏洞。

 3）若程序使用 gradle 打包，查看 build.gradle 编译配置文件，若在dependencies 部分存在 org.apache.logging.log4j 相关字段，且版本号为小于 2.15.0-rc2，则存在该漏洞。

2. 攻击排查

a) 攻击者在利用前通常采用 dnslog 方式进行扫描、探测，对于常见利用方式可通过应用系统报错日志中的

"javax.naming.CommunicationException"、

"javax.naming.NamingException: problem generating object usingobject factory"、"Error looking up JNDI resource"关键字进行排查。

b) 流量排查：攻击者的数据包中可能存在：“${jndi:rmi”、“${jndi:ldap”字样。

3. 修复建议

a) 升级到最新版本：

请联系厂商获取修复后的官方版本：https://github.com/apache/logginglog4j2 ；

请尽快升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc2 版本，地址：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2  

b) 缓解措施：

（1）添加 jvm 启动参数 -Dlog4j2.formatMsgNoLookups=true

（2）在应用程序的 classpath 下添加 log4j2.component.properties 配置文件，文件内容：log4j2.formatMsgNoLookups=True

（3）设置系统环境变量 FORMAT_MESSAGES_PATTERN_disABLE_LOOKUPS设置为 true

（4）建议 JDK 使用 11.0.1、8u191、7u201、6u211 及以上的高版本

（5）限制受影响应用对外访问互联网