Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-44228、CVE-2021-45046）

2021-12-10

一、概要

近日，華為云關(guān)注到Apache Log4j2存在一處遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-44228），在引入Apache Log4j2處理日志時，會對用戶輸入的內(nèi)容進(jìn)行一些特殊的處理，攻擊者可以構(gòu)造特殊的請求，觸發(fā)遠(yuǎn)程代碼執(zhí)行。目前POC已公開，風(fēng)險(xiǎn)較高。

12月16日，官方披露低于2.16.0版本除了存在拒絕服務(wù)漏洞外，還存在另一處遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-45046）。

Apache Log4j2是一款業(yè)界廣泛使用的基于Java的日志記錄工具。華為云提醒使用Apache Log4j2的用戶盡快安排自檢并做好安全加固。

參考鏈接：https://logging.apache.org/log4j/2.x/security.html

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

2.0-beat9 <= Apache Log4j 2.x < 2.16.0（2.12.2 版本不受影響）

已知受影響的應(yīng)用及組件：spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid

安全版本：

Apache Log4j 1.x 不受影響

Apache Log4j 2.16.0

四、漏洞處置

目前官方已發(fā)布修復(fù)版本修復(fù)了該漏洞，請受影響的用戶盡快升級Apache Log4j2所有相關(guān)應(yīng)用到安全版本：https://logging.apache.org/log4j/2.x/download.html

Java 8（或更高版本）的用戶建議升級到 2.16.0 版本；

Java 7 的用戶建議升級到2.12.2版本，此版本是安全版本。

無法及時升級的用戶，可參考官方建議將JndiLookup類從classpath中去除，并重啟服務(wù)來進(jìn)行風(fēng)險(xiǎn)規(guī)避：

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。

華為云安全持續(xù)監(jiān)測此漏洞及其變種攻擊，有使用如下華為云安全服務(wù)的用戶可開啟防護(hù)功能：

1、華為云WAF具備對該漏洞防御能力，并提供免費(fèi)1個月標(biāo)準(zhǔn)版試用服務(wù)，試用申請時間截至2022年1月31日。免費(fèi)申請?jiān)囉镁贮c(diǎn)有：北京一、北京四、烏蘭察布一、上海一、上海二、廣州、廣州友好、貴陽一、香港、曼谷、新加坡、約翰內(nèi)斯堡、墨西哥一、墨西哥二、圣保羅一、圣地亞哥。申請成功后將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式即可，具體方法請參見配置Web基礎(chǔ)防護(hù)規(guī)則。

2、華為云CFW的基礎(chǔ)防御功能，能夠檢測和攔截各種變形攻擊。在華為云CFW控制臺，入侵防御->防御策略設(shè)置頁面，打開基礎(chǔ)防御功能開關(guān)，并啟動攔截模式，具體方法參見配置入侵防御策略。

3、華為云漏掃服務(wù)VSS，能夠檢測網(wǎng)站及主機(jī)資產(chǎn)是否存在該漏洞。在華為云VSS控制臺，資產(chǎn)列表->網(wǎng)站->新增域名，資產(chǎn)列表->主機(jī)->添加主機(jī)，啟動掃描，等待任務(wù)結(jié)束，查看掃描報(bào)告。具體參見用戶指南。

4、華為云企業(yè)主機(jī)安全服務(wù)HSS，能夠檢測應(yīng)用是否存在該漏洞。在華為云企業(yè)主機(jī)安全HSS控制臺，網(wǎng)頁防篡改->防護(hù)列表頁面，為所防護(hù)應(yīng)用所在主機(jī)開啟防護(hù)，開啟防護(hù)頁面，勾選“開啟動態(tài)網(wǎng)頁防篡改”。具體方法參見開啟網(wǎng)頁防篡改。

5、華為云容器安全服務(wù)CGS，能夠檢測私有鏡像是否存在該漏洞，基礎(chǔ)版免費(fèi)向客戶開放。在華為云容器安全CGS控制臺，鏡像安全->鏡像漏洞->私有鏡像倉庫漏洞，可以查看私有鏡像倉庫中的漏洞情況。具體方法參見管理私有鏡像倉庫漏洞。