Apache Log4j2

存在任意代码执行漏洞（二次通报）

Apache Log4j 是 Apache 的一个开源项目，Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等，通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发，用来记录日志信息。

所以本次出现的漏洞涉及范围极广

NEWS

目前，知柯信息安全继10日1点后

又多次成功复现该漏洞

漏洞编号

CNVD-2021-95914

影响范围

Apache Log4j 2.x

ps：官方补丁rc1有被绕过风险

解决方案

1、缓释方案：

log4j2.formatMsgNoLookups设置为True

添加 -Dlog4j2.formatMsgNoLookups=true

创建 “log4j2.component.properties” 文件，文件中增加配置 “log4j2.formatMsgNoLookups=true”

waf增加恶意字符临时拦截规则

2、 检查pom.xml是否存在 log4j 版本 2.0

3、及时更新升级到官方发布的最新版本

漏洞描述

Apache Log4j2 是对 Log4j 的升级，它比其前身 Log4j 1.x 提供了重大改进，并提供了 Logback 中可用的许多改进，被广泛应用于业务系统开发，用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于 Apache Log4j2 某些功能存在递归解析功能，攻击者可通过构造指定的恶意请求，触发远程代码执行从而获取服务器权限。

ps：网传工具经过检测并非本次漏洞利用工具，请谨慎使用

相关技术支持

受到影响的企业等可联系本团队获取最新检测方式、漏洞补丁和缓解措施

本次漏洞成本极低危害极大，请重视本漏洞

知柯信安

用心守护您的安全