【漏洞預警】Apache Log4j2 遠端程式碼執行漏洞二次更新通告

2021年11月24日,阿里雲安全團隊向Apache官方報告了Apache Log4j2遠端程式碼執行漏洞。

2021年12月10日,阿里雲安全團隊發現 Apache Log4j 2.15.0-rc1 版本存在漏洞繞過,請及時更新至 Apache Log4j 2.15.0-rc2 版本。

01
Apache Log4j2是一款優秀的Java日誌框架。2021年11月24日,阿里雲安全團隊向Apache官方報告了Apache Log4j2遠端程式碼執行漏洞。由於Apache Log4j2某些功能存在遞迴解析功能,攻擊者可直接構造惡意請求,觸發遠端程式碼執行漏洞。漏洞利用無需特殊配置,經阿里雲安全團隊驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。2021年12月10日,阿里雲安全團隊發現 Apache Log4j 2.15.0-rc1 版本存在漏洞繞過,請及時更新至 Apache Log4j 2.15.0-rc2 版本。阿里雲應急響應中心提醒 Apache Log4j2 使用者儘快採取安全措施阻止漏洞攻擊。
02

Apache Log4j 遠端程式碼執行漏洞 嚴重

PoC EXP

03

經驗證 2.15.0-rc1 版本存在繞過,實際受影響範圍如下:

Apache Log4j 2.x < 2.15.0-rc2

04

1、排查應用是否引入了Apache Log4j2 Jar包,若存在依賴引入,則可能存在漏洞影響。請儘快升級Apache Log4j2所有相關應用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、升級已知受影響的應用及元件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
06
https://help.aliyun.com/noticelist/articleid/1060971232.html

閱讀原文


相關文章