一、基本情况
Apache Log4j2是一个基于Java的日志记录工具。
二、漏洞描述
该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
由于Apache Log4j2在JAVA应用中使用量大,目前已知受影响的组件应用有:
Apache Solr
Apache Flink
Apache Druid
通过构造特殊的数据包,可远程执行任意代码。
三、影响范围
Apache Log4j 2.x <= 2.14.1
四、修复建议
升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc1 版本
五、排查方法
排查方法:到服务器搜索排查Java应用是否引入 log4j-api , log4j-core 两个jar包,影响版本:Apache Log4j 2.x <= 2.14.1
