12月9日，Apache官方报告了Apache Log4j2远程代码执行漏洞。这个漏洞的严重性和影响面堪称2021年之最，攻击者可以利用漏洞远程执行代码最终获得服务器的最高权限，另外由于该日志框架性能好、流行度高，因此广泛被应用在中间件、开发框架、Web程序中，也影响了大量Apache的其它开源产品。此漏洞细节一经披露，国内各大安全厂商在渡过了一个不眠之夜后，各种解决方案新鲜出炉…

漏洞简介：

Apache Log4j2是一个基于Java的日志记录工具，是Log4j的升级，是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发，用来记录日志信息。

经确认Apache Log4j2 存在远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置，入侵者可直接构造恶意请求，触发远程代码执行漏洞。

影响范围：

经多方验证2.15.0-rc1 版本存在绕过，实际受影响范围如下：

Apache Log4j 2.x< 2.15.0-rc2

Apache Struts2、Apache Solr、Apache Druid、Apache Flink等

修复建议：

1.升级版本目前官方已经修复该漏洞，建议受影响产品尽快升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2

版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。

2.临时方案

1) 添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true

2) 在应用程序的classpath下添加log4j2.component.properties配置文件文件，文件内容：log4j2.formatMsgNoLookups=True

3) 设置系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置true

4) 建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本

5) 限制受影响应用对外访问互联网

安盟华御应用防护系统和网络入侵检测系统

两款产品均已支持该漏洞的防护，规则包需升级到20211210及以后版本。升级路径为：系统维护→系统升级→自动升级，点击立即升级，或下载离线特征库手动升级。

另外如果无法及时更新规则库，也可以使用自定义规则。路径为：入侵检测→规则库→自定义规则，新建自定义规则:\x24\x7b\x6a\x6e\x64\x69\x3a 。

声明

经过严格的排查，安盟信息的安全隔离与信息交换系统、安全隔离与信息单向导入系统、安全隔离与数据交换平台、工业安全隔离装置系统、工业防火墙系统、工业数据采集与单向上传系统、工业应用审计系统、工控主机卫士系统、应用防护系统、网络入侵检测系统等产品均不受此Apache Log4j2漏洞影响。