一、概要
近日,基调听云关注到Apache Log4j2存在一处远程代码执行漏洞(CVE-2021-44228),在引入Apache Log4j2处理日志时,会对用户输入的内容进行一些特殊的处理,攻击者可以构造特殊的请求,触发远程代码执行。目前POC已公开,风险较高。
12月16日,官方披露低于2.16.0版本除了存在拒绝服务漏洞外,还存在另一处远程代码执行漏洞(CVE-2021-45046)。
12月18日,官方继续发布了2.17.9版本,用于修复CVE-2021-45105漏洞。
Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。华为云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。
二、威胁级别
威胁级别:【严重】
三、CVSS评分
CVE-2021-44228 10.0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
CVE-2021-45046 9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
CVE-2021-45105 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
四、漏洞影响范围
影响版本:
2.0-beat9 <= Apache Log4j 2.x < 2.17.0(2.12.2 版本不受影响)
已知受影响的应用及组件:spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid
安全版本:
Apache Log4j 1.x 不受影响
Apache Log4j 2.17.0
五、对基调听云产品影响
影响产品:
基调听云性能监控平台,包括基调听云2.0、3.0以及Saas平台。
安全产品:
探针和collector不受影响。
六、漏洞处置
目前官方已发布修复版本修复了该漏洞,请受影响的用户尽快升级Apache Log4j2所有相关应用到安全版本:https://logging.apache.org/log4j/2.x/download.html
Java 8(或更高版本)的用户建议升级到 2.17.0 版本;
Java 7 的用户建议升级到2.12.2版本,此版本是安全版本。
无法及时升级的用户,可参考官方建议将JndiLookup类从classpath中去除,并重启服务来进行风险规避:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
基调听云受影响的Saas平台已于12月10日完成升级。
基调听云受影响的私有化版本已经提供相应的升级补丁。
基调听云会持续监测此漏洞及其变种攻击,使用基调听云的客户已经安排技术人员进行升级。
  • 继续阅读
  • 继续阅读
  • 继续阅读
  • 继续阅读