【安全通告】Apache Log4j 2 远程代码执行漏洞（CVE-2021-45046）

尊敬的腾讯云用户，您好！

腾讯云安全运营中心监测到， Apache Log4j 由于非默认配置下对CVE-2021-44228修复措施不完善，导致在某些特殊配置场景下，可被攻击者利用造成远程代码执行攻击。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Log4j 2 是一个开源的日志记录组件，是 Apache Log4j 的升级版，它可以控制每一条日志的输出格式，通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。

继2021年12月9日被曝存在严重代码执行漏洞（CVE-2021-44228）后，Apache Log4j 官方近日又披露了另外一个远程执行漏洞（CVE-2021-45046），漏洞风险已从之前的CVSS 3.7分上升到CVSS 9.0分，该漏洞与非默认配置下对CVE-2021-44228修复措施不完善有关，在线程上下文查找模式的某些非默认配置中，攻击者可以构造特定请求，实现远程代码执行。

该漏洞也同时影响全球大量通用应用及组件，例如 ：
Apache Struts2
Apache Solr
Apache Druid
Apache Flink
Apache Dubbo
Apache Kafka
Spring-boot-starter-log4j2
ElasticSearch
Logstash
…
建议及时检查并升级所有使用了 Log4j 组件的系统或应用。

风险等级

高风险（CVSS评分：9.0）

漏洞风险

攻击者利用该漏洞可导致任意代码执行

影响版本

2.0-beta9 =< Apache Log4j 2.x < 2.16.0（2.12.2 版本不受影响）

安全版本

Apache log4j 2.16.0 （Java 8）

Apache Log4j 2.12.2（Java 7）

修复建议

建议开展内部自查，检查业务应用是否引入了Apache log4j-core Jar包，若存在依赖引入，且在受影响版本范围内，则可能存在漏洞影响，可采取如下措施：

1. 升级到官方最新版本（推荐）

目前官方已发布修复版本，用户可以根据自身情况升级或者将代码更新到该版本

Java 8 用户：需升级到 Apache Log4j 2.16.0版本，下载地址：https://logging.apache.org/log4j/2.x/download.html

Java 7 用户：需升级到 Apache Log4j 2.12.2版本，下载地址：https://github.com/apache/logging-log4j2/releases/tag/rel/2.12.2

2. 应用其他防护方案

1) 对于暂时无法升级版本的用户，建议移除 log4j-core 包中 JndiLookup 类文件，并重启服务，可用以下命令：

 zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

2) 通过安全组或防火墙限制受影响应用对外访问互联网

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://logging.apache.org/log4j/2.x/security.html