关于 Apache Log4j 2.15.0-rc1 远程命令执行的安全告知

时间:2021-12-16 16:42:14来源:信息安全服务部作者:梦之想科技

Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。

漏洞背景

Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,同时修复了Logback架构中的一些问题。是目前最优秀的Java日志框架。

漏洞详情

用户输入的数据触发错误条件被日志记录,即可造成远程代码执行。

影响范围

经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下:

Apache log4j 2.x < 2.15.0-rc2

漏洞复现

如果用户使用Apache Log4j 2框架进行日志记录,就存在漏洞被利用的风险。

log4j.png

修复建议

升级官方最新版本:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

参考链接

https://github.com/apache/logging-log4j2/tags