首頁(yè) 資訊 【漏洞通告】Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞(CVE

【漏洞通告】Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞(CVE

來(lái)源:泰然健康網(wǎng) 時(shí)間:2025年09月20日 04:03

近日,阿里云計(jì)算有限公司發(fā)現(xiàn)阿帕奇Log4j2組件存在遠(yuǎn)程代碼執(zhí)行漏洞。2021年12月10日,阿里云安全團(tuán)隊(duì)發(fā)現(xiàn) Apache Log4j 2.15.0-rc1 版本存在漏洞繞過。2021年12月15日,Apache官方發(fā)布Log4j 2.16.0 以及 2.12.2 版本,修復(fù)CVE-2021-45046 Apache Log4j 拒絕服務(wù)與遠(yuǎn)程代碼執(zhí)行漏洞。

時(shí)間線

- 2021年12月9日,阿里云安全團(tuán)隊(duì)發(fā)布 Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-44228) 安全通告

- 2021年12月10日,阿里云安全團(tuán)隊(duì)發(fā)現(xiàn)繞過,更新建議修復(fù)版本為 Apache Log4j 2.15.0 及其以上。

- 2021年12月15日,阿里云安全團(tuán)隊(duì)更新安全建議,更新建議修復(fù)版本為 Apache Log4j 2.16.0 以及 Apache Log4j 2.12.2 安全版本。

漏洞描述

Apache Log4j2是一款優(yōu)秀的Java日志框架。由于Apache Log4j2某些功能存在遞歸解析功能,攻擊者可直接構(gòu)造惡意請(qǐng)求,觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。漏洞利用無(wú)需特殊配置,經(jīng)阿里云安全團(tuán)隊(duì)驗(yàn)證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。2021年12月10日,阿里云安全團(tuán)隊(duì)發(fā)現(xiàn) Apache Log4j 2.15.0-rc1 版本存在漏洞繞過,2021年12月15日,Apache官方發(fā)布Log4j 2.16.0 以及 2.12.2 版本,修復(fù)CVE-2021-45046 Apache Log4j 拒絕服務(wù)與遠(yuǎn)程代碼執(zhí)行漏洞。阿里云應(yīng)急響應(yīng)中心提醒 Apache Log4j2 用戶盡快采取安全措施阻止漏洞攻擊。

漏洞評(píng)級(jí)

CVE-2021-44228 Apache Log4j 遠(yuǎn)程代碼執(zhí)行漏洞 嚴(yán)重

CVE-2021-45046 Apache Log4j 拒絕服務(wù)與遠(yuǎn)程代碼執(zhí)行漏洞 嚴(yán)重

影響版本

注:Apache Log4j 1.x 版本不受此次漏洞影響。

CVE-2021-44228 Apache Log4j 遠(yuǎn)程代碼執(zhí)行漏洞:

Apache Log4j 2.x >=2.0-beta9 且 < 2.15.0 (2.12.2 版本不受影響)

CVE-2021-45046 Apache Log4j 拒絕服務(wù)與遠(yuǎn)程代碼執(zhí)行漏洞:

Apache Log4j 2.x >=2.0-beta9 且 < 2.16.0(2.12.2 版本不受影響)

安全建議(以下任何修復(fù)方案均需要重啟應(yīng)用,且可能存在兼容性問題或?qū)е聭?yīng)用服務(wù)不可用,請(qǐng)注意評(píng)估修復(fù)操作風(fēng)險(xiǎn))

1、排查應(yīng)用是否引入了Apache log4j-core Jar包,若存在依賴引入,且在受影響版本范圍內(nèi),則可能存在漏洞影響。同時(shí)為了避免在Apache Log4j 2.15.0版本中某些自定義配置而可能導(dǎo)致的JNDI注入或拒絕服務(wù)攻擊,請(qǐng)盡快升級(jí)Apache Log4j2所有相關(guān)應(yīng)用到 2.16.0 或者 2.12.2 及其以上版本,地址 https://logging.apache.org/log4j/2.x/download.html 。

2、對(duì)于 Java 8 及其以上用戶,建議升級(jí) Apache Log4j2 至 2.16.0 版本

3、對(duì)于 Java 7 用戶,建議升級(jí)至 Apache Log4j 2.12.2 版本,該版本為安全版本,用于解決兼容性問題。

4、對(duì)于其余暫時(shí)無(wú)法升級(jí)版本的用戶,建議刪除JndiLookup,可用以下命令

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

5、升級(jí)已知受影響的應(yīng)用及組件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

6、其余臨時(shí)緩解方案可參見 https://logging.apache.org/log4j/2.x/security.html 。目前已有安全版本,強(qiáng)烈建議不要采用臨時(shí)緩解方案進(jìn)行防御。

相關(guān)鏈接

1、https://logging.apache.org/log4j/2.x/security.html

2、https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

3、https://avd.aliyun.com/detail?id=AVD-2021-920285

4、https://avd.aliyun.com/detail?id=AVD-2021-45046

我們會(huì)關(guān)注后續(xù)進(jìn)展,請(qǐng)隨時(shí)關(guān)注官方公告。

如有任何問題,可隨時(shí)通過工單聯(lián)系反饋。

阿里云應(yīng)急響應(yīng)中心

2021.12.9

相關(guān)知識(shí)

研究人員披露GE HealthCare超聲波醫(yī)療設(shè)備漏洞,能被用于部署惡意程序
云安全日?qǐng)?bào)201026:Linux內(nèi)核發(fā)現(xiàn)數(shù)據(jù)泄露和特權(quán)升級(jí)漏洞,需要盡快升級(jí)
研究人員揭露GE HealthCare超音波醫(yī)療設(shè)備漏洞,並指出能被用於部署惡意程式、搜刮病人檢查結(jié)果
spring boot 健康檢查漏洞
揭秘網(wǎng)絡(luò)安全漏洞及其利用實(shí)例
醫(yī)院小程序安全漏洞問題與網(wǎng)警建議
全面揭秘疫情下醫(yī)療網(wǎng)絡(luò)安全風(fēng)險(xiǎn)!超 80% 健康 App 有高危漏洞,暴力攻擊單日 80 萬(wàn)次
醫(yī)院小程序漏洞事件:安全隱患與網(wǎng)警提醒
保健品黑洞就是監(jiān)管的漏洞
私購(gòu)濫用“減肥藥”,安全漏洞誰(shuí)來(lái)堵

網(wǎng)址: 【漏洞通告】Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞(CVE http://www.u1s5d6.cn/newsview1816803.html

推薦資訊