西北农林科技大学信息化管理处(网络与教育技术中心)-全讯官网
发布日期:2021-12-10 作者: 来源:
apache log4j2远程代码执行漏洞通告
1.漏洞概述
近日,webray 安全服务部监测到 apache log4j2 存在远程代码执行漏洞,通过构造恶意的代码即可利用该漏洞,从而导致服务器权限丢失。由于该漏洞危害较大,webray 安全服务部建议相关用户及时采取安全措施阻止漏洞攻击。log4j 是 apache 的一个开源项目,通过使用 log4j,可以控制日志信息输送的目的地是控制台、文件、gui 组件,甚至是套接口服务器、nt 的事件记录器、unix syslog 守护进程等;也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
apache log4j2 是 log4j 的升级版本,该版本与之前的 log4j1.x 相比带来了显著的性能提升,并且修复一些存在于 logback 中固有的问题的同时提供了很多在 logback 中可用的性能提升,apache struts2、apache solr、apache druid、apache flink 等均受影响。
2.影响范围
apache log4j 2.x <= 2.14.1 版本均受影响。
3.漏洞等级 :高危
4.修复建议
1、官方补丁:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
2、升级其他涉及到的通用组件,例如 apache struts2、apache solr 等。