公告编号:自如src暂拒收Log4j2漏洞报告作者:gym发布日期:2021/12/10
致各位亲爱的白帽子:
Log4j2远程代码执行漏洞Ziroom SRC内部已知,鉴于该漏洞的影响范围比较大,业务自查及升级修复需要一定时间,暂不接收Log4j2相关的远程代码执行漏洞,谢谢!
附:Log4j2远程代码执行漏洞说明
Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下: Apache Log4j 2.x < 2.15.0-rc2
处置建议:
1.修复措施
(1). 排查应用是否引入了Apache Log4j2 Jar包,若存在依赖引入,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
(2). 升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
2.缓解措施:
(1). jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2). log4j2.formatMsgNoLookups=True
(3).系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
(4) .流量拦截如 jndi:ldap:// , jndi://rmi 等
