Apache Log4j2 遠程代碼執(zhí)行漏洞（CVE-2021-44228、CVE-2021-45046）

2021-12-10

一、概要

近日，華為云關注到Apache Log4j2存在一處遠程代碼執(zhí)行漏洞（CVE-2021-44228），在引入Apache Log4j2處理日志時，會對用戶輸入的內(nèi)容進行一些特殊的處理，攻擊者可以構造特殊的請求，觸發(fā)遠程代碼執(zhí)行。目前POC已公開，風險較高。

12月16日，官方披露低于2.16.0版本除了存在拒絕服務漏洞外，還存在另一處遠程代碼執(zhí)行漏洞（CVE-2021-45046）。

Apache Log4j2是一款業(yè)界廣泛使用的基于Java的日志記錄工具。華為云提醒使用Apache Log4j2的用戶盡快安排自檢并做好安全加固。

參考鏈接：https://logging.apache.org/log4j/2.x/security.html

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

2.0-beat9 <= Apache Log4j 2.x < 2.16.0（2.12.2 版本不受影響）

已知受影響的應用及組件：spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid

安全版本：

Apache Log4j 1.x 不受影響

Apache Log4j 2.16.0

四、漏洞處置

目前官方已發(fā)布修復版本修復了該漏洞，請受影響的用戶盡快升級Apache Log4j2所有相關應用到安全版本：https://logging.apache.org/log4j/2.x/download.html

Java 8（或更高版本）的用戶建議升級到 2.16.0 版本；

Java 7 的用戶建議升級到2.12.2版本，此版本是安全版本。

無法及時升級的用戶，可參考官方建議將JndiLookup類從classpath中去除，并重啟服務來進行風險規(guī)避：

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

注：修復漏洞前請將資料備份，并進行充分測試。

華為云安全持續(xù)監(jiān)測此漏洞及其變種攻擊，有使用如下華為云安全服務的用戶可開啟防護功能：

1、華為云WAF具備對該漏洞防御能力，并提供免費1個月標準版試用服務，試用申請時間截至2022年1月31日。免費申請試用局點有：北京一、北京四、烏蘭察布一、上海一、上海二、廣州、廣州友好、貴陽一、香港、曼谷、新加坡、約翰內(nèi)斯堡、墨西哥一、墨西哥二、圣保羅一、圣地亞哥。申請成功后將“Web基礎防護”狀態(tài)設置為“攔截”模式即可，具體方法請參見配置Web基礎防護規(guī)則。

2、華為云CFW的基礎防御功能，能夠檢測和攔截各種變形攻擊。在華為云CFW控制臺，入侵防御->防御策略設置頁面，打開基礎防御功能開關，并啟動攔截模式，具體方法參見配置入侵防御策略。

3、華為云漏掃服務VSS，能夠檢測網(wǎng)站及主機資產(chǎn)是否存在該漏洞。在華為云VSS控制臺，資產(chǎn)列表->網(wǎng)站->新增域名，資產(chǎn)列表->主機->添加主機，啟動掃描，等待任務結(jié)束，查看掃描報告。具體參見用戶指南。

4、華為云企業(yè)主機安全服務HSS，能夠檢測應用是否存在該漏洞。在華為云企業(yè)主機安全HSS控制臺，網(wǎng)頁防篡改->防護列表頁面，為所防護應用所在主機開啟防護，開啟防護頁面，勾選“開啟動態(tài)網(wǎng)頁防篡改”。具體方法參見開啟網(wǎng)頁防篡改。

5、華為云容器安全服務CGS，能夠檢測私有鏡像是否存在該漏洞，基礎版免費向客戶開放。在華為云容器安全CGS控制臺，鏡像安全->鏡像漏洞->私有鏡像倉庫漏洞，可以查看私有鏡像倉庫中的漏洞情況。具體方法參見管理私有鏡像倉庫漏洞。