安全预警
当前位置: 首页 · 安全预警 · 正文
网络安全预警通报第八期
日期:2021-12-31 信息来源: 点击数:

【预警类型】中危预警

预警内容

Apache log4j2 远程代码执行漏洞风险通告

安全公告编号:CVE-2021-44832

一、漏洞概述

Apache Log4j2 是一个基于Java的开源日志记录框架,该框架重写了Log4j框架,是其前身Log4j 1.x 的重写升级版,并且引入了大量丰富的特性,使用非常的广泛。该框架被大量用于业务系统开发,用来记录日志信息。

据官方描述,拥有修改日志配置文件权限的攻击者,可以构造恶意的配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,从而可通过该 JNDI URI 远程执行任意代码。

由于该漏洞要求攻击者拥有修改配置文件权限(通常需借助其他漏洞才可实现),非默认配置存在的问题,漏洞成功利用难度较大。

二、受影响的版本

2.0-beta7 =< Apache Log4j 2.x < 2.17.0(2.3.2 和 2.12.4 版本不受影响)

三、安全版本

Log4j >= 2.3.2 (Java 6)

Log4j >= 2.12.4 (Java 7)

Log4j >= 2.17.1 (Java 8 及更新版)

四、漏洞缓解措施

目前Apache Log4j2 官方已有可更新版本,漏洞实际风险一般,建议用户保持关注;如有需要,再酌情进行升级。

官方链接:

https://logging.apache.org/log4j/2.x/download.html

【备注】:建议您在升级前做好数据备份工作,避免出现意外

参考链接:

https://logging.apache.org/log4j/2.x/security.html

上一条:网络安全预警通报第九期
下一条:网络安全预警通报第七期

       版权所有:南昌大学科学技术学院-计算机网络中心        
      地址:南昌大学科学技术学院求实楼