Apache Log4j2 发现远程代码执行漏洞，高危！

开源软件漏洞：Apache Log4j2 发现远程代码执行漏洞，高危！
图片
1、漏洞简介
Apache Log4j2是一款非常优秀的Java日志框架。该工具重写了Log4j框架，并且引入了大量丰富的特性，压测表现远超log4j和logback。该日志框架被大量用于业务系统开发，用来记录日志信息。
此次漏洞的出现，是由用于 Log4j 2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。“微步在线研究响应中心”做了漏洞复现。简单来说，就是在打印日志时，如果发现日志内容中包含关键词 ${，那么这个里面包含的内容会当做变量来进行替换，导致攻击者可以任意执行命令。详细漏洞披露可查看：https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues
2、漏洞危害
漏洞利用无需特殊配置，攻击者可直接构造恶意请求，触发远程代码执行漏洞。
3、漏洞编号
暂无
4、影响范围
Apache Log4j 2.x
根据目前对于此类漏洞的研究积累，我们建议企业可以通过监测相关流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。
5、修复措施
紧急缓解措施：
1、修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
2、修改配置 log4j2.formatMsgNoLookups=True
3、将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
最终修复措施：
升级Apache Log4j 2所有相关应用到最新的 log4j-2.15.0-rc2版本，地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2（重要说明：12月10日上午，阿里云安全团队再次发出预警，发现Apache Log4j 2.15.0-rc1版本仍然存在漏洞绕过，建议及时更新至Apache Log4j 2.15.0-rc2版本）
5、关联影响
由于logj4j2几乎成为了日志工具的标准，所以非常多大名鼎鼎的开源工具也受到了影响。升级已知受影响的应用及组件包括但不限于：
1. srping-boot-strater-log4j2
2. Solr
3. Flink
4. Druid
5. kafka
6. elasticsearch
7. druid
8. flink