【安全通告】Apache log4j2 远程代码执行漏洞风险通告（CVE-2021-44832）

腾讯云安全运营中心监测到，Apache Log4j2 官方发布公告提示其在某些特殊场景下存在远程代码执行漏洞，漏洞编号CVE-2021-44832。该漏洞仅在攻击者拥有修改配置文件权限时才可远程执行任意代码，漏洞利用难度较大。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Log4j2 是一个基于Java的开源日志记录框架，该框架重写了Log4j框架，是其前身Log4j 1.x 的重写升级版，并且引入了大量丰富的特性，使用非常的广泛。该框架被大量用于业务系统开发，用来记录日志信息。

据官方描述，拥有修改日志配置文件权限的攻击者，可以构造恶意的配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用，从而可通过该 JNDI URI 远程执行任意代码。

由于该漏洞要求攻击者拥有修改配置文件权限（通常需借助其他漏洞才可实现），非默认配置存在的问题，漏洞成功利用难度较大。

风险等级

中风险

漏洞风险

攻击者利用该漏洞可导致远程代码执行

影响版本

2.0-beta7 =< Apache Log4j 2.x < 2.17.0（2.3.2 和 2.12.4 版本不受影响）

安全版本

Log4j >= 2.3.2 (Java 6)

Log4j >= 2.12.4 (Java 7)

Log4j >= 2.17.1 (Java 8 及更新版)

修复建议

目前Apache Log4j2 官方已有可更新版本，漏洞实际风险一般，建议用户保持关注；如有需要，再酌情进行升级。

官方链接：

https://logging.apache.org/log4j/2.x/download.html

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考：

https://logging.apache.org/log4j/2.x/security.html