0x1 漏洞描述

一个 Apache Log4j2 反序列化远程代码执行漏洞细节已被公开，Log4j-2 中存在 JNDI 注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2 是一款优秀的 Java 日志框架。由于 Apache Log4j2 某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，在大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请求包，最终触发远程代码执行。经验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

因该组件使用极为广泛，利用门槛很低，危害极大，建议所有 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

0x2 漏洞评级

Apache Log4j 远程代码执行漏洞 严重

漏洞细节

漏洞PoC

漏洞EXP

在野利用

公开

公开

公开

已存在

0x3 漏洞复现与验证

第一时间对该漏洞进行复现验证

0x4 受影响版本

Apache log4j2 2.0 - 2.14.1 版本均受影响。2.0 <= Apache log4j2 <= 2.14.1

影响判断方式：用户只需排查 Java 应用是否引入 log4j-api , log4j-core 两个 jar。若存在应用使用，极大可能会受到影响。

0x5 安全版本

Apache log4j-2.15.0-rc1

0x6 漏洞修复安全建议

1、Apache官方已发布补丁，升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc1 版本，地址

2、升级已知受影响的应用及组件，如 srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

3、漏洞缓解措施：

（1）jvm参数 -Dlog4j2.formatMsgNoLookups=true

（2）log4j2.formatMsgNoLookups=True