关于暂不接收 Log4j2远程代码执行漏洞的通知

公告编号:自如src暂拒收Log4j2漏洞报告作者:gym发布日期:2021/12/10

致各位亲爱的白帽子:


        Log4j2远程代码执行漏洞Ziroom SRC内部已知,鉴于该漏洞的影响范围比较大,业务自查及升级修复需要一定时间,暂不接收Log4j2相关的远程代码执行漏洞,谢谢!



附:Log4j2远程代码执行漏洞说明

        

        Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下: Apache Log4j 2.x < 2.15.0-rc2


处置建议:


    1.修复措施

 (1). 排查应用是否引入了Apache Log4j2 Jar包,若存在依赖引入,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

 (2). 升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

    

    2.缓解措施:

    (1). jvm参数 -Dlog4j2.formatMsgNoLookups=true     

     (2). log4j2.formatMsgNoLookups=True

     (3).系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

      (4) .流量拦截如 jndi:ldap:// , jndi://rmi 等