Apache Log4j 2 远程代码执行漏洞（CVE-2021-45046）风险通告

Apache Log4j 由于非默认配置下对CVE-2021-44228修复措施不完善，导致在某些特殊配置场景下，可被攻击者利用造成远程代码执行攻击。

为避免遭遇黑客攻击，腾讯安全专家建议受影响的客户及时升级到最新版本。

漏洞描述：

Apache Log4j 2.15.0 中针对 CVE-2021-44228 的修复在某些非默认配置中不完整。当日志配置使用非默认模式布局和上下文查找（例如，$${ctx:loginId}）或线程上下文映射模式（ %X、%mdc 或 %MDC）使用 JNDI 查找模式制作恶意输入数据，从而导致拒绝服务 (DOS) 攻击。

默认情况下，Log4j 2.15.0 尽最大努力将 JNDI LDAP 查找限制为 localhost。Log4j 2.16.0 通过删除对消息查找模式的支持和默认禁用 JNDI 功能来修复此问题。

这是继2021年12月9日被曝存在严重代码执行漏洞（CVE-2021-44228）后，Apache Log4j 官方近日再次披露的另外一个远程代码执行漏洞（CVE-2021-45046）。

漏洞风险评分已从最初的CVSS 3.7分上升到CVSS 9.0分，由低风险上升为“高风险”。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。

漏洞等级：

高，CVSS评分9.0

受影响的版本：

2.0-beta9 =< Apache Log4j < 2.16.0

该漏洞影响全球大量通用应用及组件，包括 ：

Apache Struts2

Apache Solr

Apache Druid

Apache Flink

Apache Dubbo

Apache Kafka

Spring-boot-starter-log4j2

ElasticSearch

Logstash

等等……

已修复版本：

Apache log4j 2.16.0 （Java 8）

Apache Log4j 2.12.2（Java 7）

漏洞修复建议：

腾讯安全专家建议受影响的用户升级到官方最新版本

Java 8 用户：需升级到 Apache Log4j 2.16.0版本，下载地址：

https://logging.apache.org/log4j/2.x/download.html

Java 7 用户：需升级到 Apache Log4j 2.12.2版本，下载地址：

https://github.com/apache/logging-log4j2/releases/tag/rel/2.12.2

参考链接：

https://logging.apache.org/log4j/2.x/security.html

https://nvd.nist.gov/vuln/detail/CVE-2021-45046

扫描以下二维码关注“腾讯安全威胁情报中心”公众号，掌握最新的网络安全威胁情报。