Log4j 曝核弹级漏洞,一行配置修复,速改

原创

猫头虎博主 2022-09-16 21:25:10 博主文章分类：运维 ©著作权

文章标签 安全阿里云 web安全 apache spring 文章分类 后端开发

©著作权归作者所有：来自51CTO博客作者猫头虎博主的原创作品，请联系作者获取转载授权，否则将追究法律责任

紧急！Log4j 曝核弹级漏洞；一行配置修复，速改！

漏洞描述

Apache Log4j2是一款优秀的Java日志框架。2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日，阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过，请及时更新至 Apache Log4j 2.15.0 版本。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

漏洞评级

严重

Log4j 曝核弹级漏洞,一行配置修复,速改_web安全_03

漏洞细节	漏洞PoC	漏洞EXP	在野利用
公开	公开	公开	存在

影响版本

Apache Log4j 2.x < 2.15.0

Spring Boot最简修复方式

有小伙伴希望能通过Spring Boot的Starter快速解决，还给Spring Boot提了Issue，希望spring-boot-starter-log4j2能支持2.15的版本

Log4j 曝核弹级漏洞,一行配置修复,速改_阿里云_04

截至目前，log4j最新的release版本2.15.0已经上线；

Spring Boot项目只需要在pom.xml文件添加一行配置解决

<properties>
    <log4j2.version>2.15.0</log4j2.version>
</properties>

Log4j 曝核弹级漏洞,一行配置修复,速改_阿里云_05

本次漏洞影响范围

已知受影响应用及组件

Apache Solr
Apache Struts2
Apache Flink
Apache Druid
srping-boot-strater-log4j2
Apache Dubbo
Apache Kafka
ElasticSearch
Redis
Logstash
…

漏洞排查方式

解压Jar包，看是否存在org/apache/logging/log4j相关结构路径

Log4j 曝核弹级漏洞,一行配置修复,速改_安全_06

依赖检查，看是否存在以下依赖，并升级至log4j-2.15.0及以上

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.15.0</version>
</dependency>

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.15.0</version>
</dependency>

检查日志
攻击者在利用前通常采用dnslog方式进行扫描、探测，常见的漏洞利用方式可通过应用系统报错日志中的”javax.naming.CommunicationException”、”javax.naming.NamingException: problem generating object using object factory”、”Error looking up JNDI resource”关键字进行排查。

Log4j 曝核弹级漏洞,一行配置修复,速改_web安全_07