HSS更新Apache Log4j2 远程代码执行漏洞

尊敬的华为云客户，您好：

近日，华为云关注到Apache Log4j2存在一处远程代码执行漏洞（CVE-2021-44228），在引入Apache Log4j2处理日志时，会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC已公开，风险较高。

12月16日，官方披露低于2.16.0版本除了存在拒绝服务漏洞外，还存在另一处远程代码执行漏洞（CVE-2021-45046）。

Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。华为云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。

参考链接：https://logging.apache.org/log4j/2.x/security.html

• 威胁级别：【严重】（说明：威胁级别共四级：一般、重要、严重、紧急）
• 影响版本：2.0-beat9 <= Apache Log4j 2.x < 2.16.0（2.12.2 版本不受影响）
• 已知受影响的应用及组件：spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid
• 安全版本：Apache Log4j 1.x 不受影响；Apache Log4j 2.16.0。
• 漏洞处置

  目前官方已发布修复版本修复了该漏洞，请受影响的用户尽快升级Apache Log4j2所有相关应用到安全版本：https://logging.apache.org/log4j/2.x/download.html

  Java 8（或更高版本）的用户建议升级到 2.16.0 版本；

  Java 7 的用户建议升级到2.12.2版本，此版本是安全版本。

  华为云企业主机安全服务HSS，能够检测应用是否存在该漏洞。在华为云企业主机安全HSS控制台，网页防篡改->防护列表页面，为所防护应用所在主机开启防护，开启防护页面，勾选“开启动态网页防篡改”。具体方法参见开启网页防篡改。

  

  • 无法及时升级的用户，可参考官方建议将JndiLookup类从classpath中去除，并重启服务来进行风险规避：

    zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  • 修复漏洞前请将资料备份，并进行充分测试。