【预警类型】中危预警

【预警内容】

Apache log4j2 远程代码执行漏洞风险通告

安全公告编号:CVE-2021-44832

一、漏洞概述

Apache Log4j2 是一个基于Java的开源日志记录框架，该框架重写了Log4j框架，是其前身Log4j 1.x 的重写升级版，并且引入了大量丰富的特性，使用非常的广泛。该框架被大量用于业务系统开发，用来记录日志信息。

据官方描述，拥有修改日志配置文件权限的攻击者，可以构造恶意的配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用，从而可通过该 JNDI URI 远程执行任意代码。

由于该漏洞要求攻击者拥有修改配置文件权限（通常需借助其他漏洞才可实现），非默认配置存在的问题，漏洞成功利用难度较大。

二、受影响的版本

2.0-beta7 =< Apache Log4j 2.x < 2.17.0（2.3.2 和 2.12.4 版本不受影响）

三、安全版本

Log4j >= 2.3.2 (Java 6)

Log4j >= 2.12.4 (Java 7)

Log4j >= 2.17.1 (Java 8 及更新版)

四、漏洞缓解措施

目前Apache Log4j2 官方已有可更新版本，漏洞实际风险一般，建议用户保持关注；如有需要，再酌情进行升级。

官方链接:

https://logging.apache.org/log4j/2.x/download.html

【备注】：建议您在升级前做好数据备份工作，避免出现意外

参考链接:

https://logging.apache.org/log4j/2.x/security.html