背景
12月10日凌晨,360漏洞云发布 Apache Log4j2 远程代码执行漏洞预警,漏洞编号:暂无,漏洞威胁等级:严重。由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。早在2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞,链接:https://help.aliyun.com/noticelist/articleid/1060971232.html?spm=5176.smartservice_service_chat.0.0.60ca709arit01e。
Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。2014 年,Log4j 2 发布。Log4j 2 是对 Log4j 的重大升级,完全重写了 log4j 的日志实现。Log4j 2 提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题,目前已经更新到 2.15.0 版本。此次漏洞的出现,是由 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,导致攻击者可以通过传入特殊命令到服务器上进行执行,从而造成漏洞的发生。
修复建议
本次漏影响版本为:Apache Log4j 2.x <= 2.14.1,目前最新版2.15以及最新补充包log4j-2.15.1-rc1 和log4j-2.15.0-rc2 也被多方爆出存在被绕过可能性。
由于目前最新官方版本和补丁尚不确定是否完全可以抵御攻击,大家可以结合自身业务情况,选择不同方式:
1. 服务部署在公网,使用阿里云云服务器,如果有使用WAF服务,可以实现自动防御。
2. 如果服务部署在内网,可以暂时考虑先不升级,注意检查网络安全即可,等官方发布稳定版本再升级。
3. 升级官方版本,可以升级到官方最新版本或者使用最新补丁,但是存在目前版本无法防御需要多次升级可能性,同时存在被攻击风险。
4. 使用临时方案,禁用lookup功能,等官方发布稳定版后再升级,禁用途径有(选择一种即可):
修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true;
修改配置文件配置 log4j2.formatMsgNoLookups=True;
修改环境变量:LOG4J_FORMAT_MSG_NO_LOOKUPS设置为true,注意2.10后环境变量不再为FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS。
说明文件参考:https://github.com/apache/logging-log4j2/blob/8d11f8bb18a062a93a6f87384e10f499bb7e0490/src/site/asciidoc/manual/configuration.adoc
