文档首页/ 容器安全服务 CGS/ 常见问题/ 产品咨询/ CGS是否支持Apache Log4j2 远程代码执行漏洞检测?
更新时间:2022-04-01 GMT+08:00

CGS是否支持Apache Log4j2 远程代码执行漏洞检测?

CGS新增Apache Log4j2 远程代码执行漏洞检测能力

12月16日,官方披露低于2.16.0版本除了存在拒绝服务漏洞外,还存在另一处远程代码执行漏洞(CVE-2021-45046)。

Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。华为云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。

参考链接:https://logging.apache.org/log4j/2.x/security.html

  • 威胁级别:【严重】(说明:威胁级别共四级:一般、重要、严重、紧急)
  • 影响版本:2.0-beat9 <= Apache Log4j 2.x < 2.16.0(2.12.2 版本不受影响)
  • 已知受影响的应用及组件:spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid
  • 安全版本:Apache Log4j 1.x 不受影响;Apache Log4j 2.16.0。
  • 漏洞处置

    目前官方已发布修复版本修复了该漏洞,请受影响的用户尽快升级Apache Log4j2所有相关应用到安全版本:https://logging.apache.org/log4j/2.x/download.html

    Java 8(或更高版本)的用户建议升级到 2.16.0 版本;

    Java 7 的用户建议升级到2.12.2版本,此版本是安全版本。

    华为云容器安全服务CGS,能够检测私有镜像是否存在该漏洞,基础版免费向客户开放。在华为云容器安全CGS控制台,镜像安全->镜像漏洞->私有镜像仓库漏洞,可以查看私有镜像仓库中的漏洞情况。具体方法参见管理私有镜像仓库漏洞

    • 无法及时升级的用户,可参考官方建议将JndiLookup类从classpath中去除,并重启服务来进行风险规避:

      zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

    • 修复漏洞前请将资料备份,并进行充分测试。