安全通告

Apache Log4j 2远程代码执行漏洞安全风险通告

发布日期：2021-12-16

漏洞描述

近日，Apache Log4j 2爆出远程代码执行漏洞（CVE-2021-44228），该漏洞允许攻击者在目标服务器上执行任意代码，可导致服务器被黑客控制。Apache Log4j 2官方第一时间发布了2.15.0-rc2版本修复该漏洞，经验证该版本修复仍然可以被绕过，从而导致拒绝服务风险（CVE-2021-45046），此外官方安全更新中还修复了Log4j 1.x版本的一处在特定条件下可导致远程代码执行的反序列化漏洞，目前官方已经发布了最新安全版本缓解以上风险。

由于Apache Log4j 2应用较为广泛，建议使用该组件的用户尽快采取安全措施。
漏洞编号

CVE-2021-44228、CVE-2021-45046、CVE-2021-4104

漏洞危害

该漏洞允许攻击者在目标服务器上执行任意代码，可导致服务器被黑客控制。

漏洞等级

高危
受影响版本

CVE-2021-44228影响范围：

从 2.0-beta9 到 2.12.1 和 2.13.0 到 2.14.1 的所有版本

CVE-2021-45046影响范围：

Apache Log4j2 2.0-beta9到2.12.1和2.13.0到2.15.0的所有版本均受影响（包括2.15.0-rc1及2.15.0-rc2）

CVE-2021-4104影响范围：

Log4j 1.x

最新安全版本

log4j 2.16.0、log4j 2.12.2

修复方案

目前漏洞POC已被公开，官方已发布安全版本，建议使用该组件的用户尽快采取安全措施。

1、官方处置：

建议您在升级前做好数据备份工作，避免出现意外。

1）厂商已发布新版本修复漏洞，请及时自查Log4j 2版本是否在影响范围内，及时将Log4j 2更新到安全版本log4j-2.16.0或log4j-2.12.2

2）升级已知受影响的应用及组件，如：

spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink。

2、临时解决方案：

使用 2.16.0之前版本的用户若无法升级，可通过执行以下命令删除jar包中漏洞相关的class文件，然后重启服务即可：

参考链接

• https://www.apache.org/dyn/closer.lua/logging/log4j/2.16.0/apache-log4j-2.16.0-bin.zip
• https://www.apache.org/dyn/closer.lua/logging/log4j/2.12.2/apache-log4j-2.12.2-bin.zip
• https://logging.apache.org/log4j/2.x/