广大程序员伙伴们，这个周末不快乐吧，哈哈哈，周五晚的私人活动估计大多泡汤了，全体加班升级~

昨天（周五），一如既往地重复着每天的搬砖日常，突然又收到了公众号【阿里云应急响应】的紧急更新通告；为啥说又呢？因为在10个小时之前，已经推送过一次了；

漏洞曝光的主要目的是提醒使用者尽快修复，但同时也让那些不法分子知道了漏洞的存在，所以这种严重漏洞一定要引起重视！

漏洞描述

ApacheLog4j2是一款优秀的Java日志框架。2021年11月24日，阿里云安全团队向Apache官方报告了ApacheLog4j2远程代码执行漏洞。由于ApacheLog4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，ApacheStruts2、ApacheSolr、ApacheDruid、ApacheFlink等均受影响。2021年12月10日，阿里云安全团队发现版本存在漏洞绕过，请及时更新至版本。阿里云应急响应中心提醒ApacheLog4j2用户尽快采取安全措施阻止漏洞攻击。

漏洞评级

严重！

漏洞细节

漏洞PoC

漏洞EXP

在野利用

公开

公开

公开

存在

影响版本SpringBoot最简修复方式

有小伙伴希望能通过SpringBoot的Starter快速解决，还给SpringBoot提了Issue，希望spring-boot-starter-log4j2能支持2.15的版本

截至目前，log4j最新的release版本2.15.0已经上线；

SpringBoot项目只需要在文件添加一行配置解决

//properties

本次漏洞影响范围已知受影响应用及组件

ApacheSolr

ApacheStruts2

ApacheFlink

ApacheDruid

srping-boot-strater-log4j2

ApacheDubbo

ApacheKafka

ElasticSearch

Redis

Logstash

漏洞排查方式

1、解压Jar包，看是否存在org/apache/logging/log4j相关结构路径

2、依赖检查，看是否存在以下依赖，并升级至及以上

!--;/groupIdartifactIdlog4j-core//version/depency!--;/groupIdartifactIdlog4j-api//version/depency

3、检查日志

攻击者在利用前通常采用dnslog方式进行扫描、探测，常见的漏洞利用方式可通过应用系统报错日志中的””、”:problemgeneratingobjectusingobjectfactory”、”ErrorlookingupJNDIresource”关键字进行排查。

4、数据包

攻击者发送的数据包中可能存在”${jndi:}”字样，推荐使用全流量或WAF设备进行检索排查。

其他处理方式

若无必要，禁止业务对外网暴露

设置jvm参数“-=true”

在设置“=True”

系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本

声明

本安全公告仅用来描述可能存在的安全问题，本文不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责；作者不为此承担任何责任。