1.漏洞说明

Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。

经边界无限安全攻防团队研判后，认定该漏洞影响范围极广，漏洞危害极大。

攻防团队已经成功复现此漏洞。

此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。影响版本。

2.危害级别

危害极大，影响范围极广。

3.自查方法

用户只需排查 Java 应用是否引入 log4j-api , log4j-core 两个 jar。若存在应用使用，极大可能会受到影响。

4.影响范围

Apache log4j2 在 2.0 至 2.14.1 版本均受影响。

5.解决方案

1. 官方补丁 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
   

2. 靖云甲应用安全防护模块默认防御此漏洞。

6.临时解决方案

1. 设置 jvm 参数 “-Dlog4j2.formatMsgNoLookups=true”

2. 设置“log4j2.formatMsgNoLookups=True”

3. 系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

4. 关闭对应应用的网络外连，禁止主动外连

7.特别提醒

攻击者可以通过 ssh 远程提权 shell 命令脚本，实现服务器提权。即使修复了，也要考虑，是否已经被黑了，有些黑客会在服务器中留其他漏洞！

8.参考资料

https://www.infoq.cn/article/SOQt4DKdWUi652W2CmRh

https://view.inews.qq.com/a/20211210A00E7P00

https://mp.weixin.qq.com/s/wC7mrK1Y4DYz9_yW4fLzbw