漏洞描述
Apache Log4j2是一個基於Java的日志記錄工具。該工具重寫了Log4j框架,並且引入了大量豐富的特性。該日志框架被大量用於業務系統開發,用來記錄日志信息。大多數情況下,開發者可能會將用戶輸入導致的錯誤信息寫入日志中。此次漏洞觸發條件為只要外部用戶輸入的數據會被日志記錄,即可造成遠程代碼執行。
影響版本
Apache log4j2 2.0 到 2.14.1 之間。
安全版本
Apache log4j2 2.15.2
漏洞自查
1、檢查Java應用是否引入log4j-api,log4j-core兩個jar。
2、若項目使用Maven打包,查看項目pom文件是否存在groupId包含log4j的依賴。
修復建議
1、官方已於2021年12月10日發布新版本修復該漏洞,請盡快升級至安全版本。
2、禁止log4j2所在主機外連。
3、禁用JNDI功能。
參考鏈接
1、https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2