一、漏洞描述
2021年12月9日,天翼云应急响应团队监测到互联网上出现Apache Log4j 远程代码执行的漏洞利用信息,攻击者可以通过发送精心构造的数据请求到受影响的应用来利用此漏洞。在应用使用Apache Log4j 作为日志组件,并对攻击者的恶意输入进行打印的情况下,将触发远程代码执行漏洞,Apache Log4j 2.x <= 2.14.1受该漏洞影响,目前,Apache Log4j 官方已发布 log4j-2.15.0-rc1 修复版本,建议受影响用户,尽快升级到安全版本,并升级其它相关受影响应用及组件。
二、影响范围
Apache Log4j 2.x <= 2.14.1
三、修复方案
1. Apache Log4j 官方已经发布了解决上述漏洞的安全更新,建议受影响用户尽快升级到安全版本。
安全版本:
log4j-2.15.0-rc1
官方安全版本下载可以参考以下链接:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
2. 建议对 Apache Struts2/Apache Solr/Apache Flink/Apache Druid 等已知受影响的应用及组件进行升级。