Apache Log4j 是一个基于 Java 的日志实用程序。 它最初由 Ceki Gülcü 编写,是 Apache 软件基金会的 Apache 日志服务项目的一部分。 Log4j 是几个 Java 日志框架之一。 Apache Log4j 2 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。

目前Apache Log4j2远程代码执行漏洞的细节已被泄露,攻击者可以利用该漏洞远程执行代码。当引入Apache Log4j2来处理日志时,它会对用户输入的内容进行一些特殊的处理。攻击者可以在 Apache Log4j2 中构造特殊请求来触发远程代码执行。该漏洞为 CVE-2021-44228。

受影响的版本

  • 2.0 <= Apache log4j <= 2.14.1
已知受影响的应用程序和组件:
  • srping-boot-strater-log4j2
  • Apache Solr
  • Apache Flink
  • Apache Druid

解决方案

目前已发布Apache Log4j新版本修复该漏洞,请受影响用户尽快将Apache Log4j2所有相关应用升级至最新的log4j-2.15.0-rc2版本,同时升级已知受影响的应用程序和组件,例如 srping-boot-strater-log4j2、Apache Solr、Apache Flink、Apache Druid。

临时维修建议
  • -Dlog4j2.formatMsgNoLookups=true添加到您的 JVM 参数
  • log4j2.formatMsgNoLookups=True

发表评论