关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

【漏洞预警】Apache Log4j 反序列化远程代码执行

发布时间:2021-12-10 13:55:51

Apache Log4j是一个基于Java的日志记录工具。它是由Ceki Gülcü首创的,现在则是Apache软件基金会的一个项目。log4j是几种Java日志框架之一。Gülcü此后开创了SLF4J和Logback 项目,意图成为log4j的继任者。


漏洞复现

1.jpg

3.png


影响版本:

Apache Log4j 2.x <= 2.14.1

版本描述

1.Log4j 2.14.1 现在可用于生产。Log4j 2 的 API 与 Log4j 1.x 不兼容,但是可以使用适配器来允许应用程序继续使用 2.Log4j 1.x API。适配器也可用于 Apache Commons Logging、SLF4J 和 java.util.logging。

3.Log4j 2.14.1 是 Log4j 的最新版本。从 Log4j 2.13.0 开始,Log4j 2 在运行时需要 Java 8 或更高版本。此版本包含可在最新更改报告中找到的新功能和修复程序。

4.Log4j 2.14.0 包含一个新的布局JsonTemplateLayout,旨在最终取代 JsonLayout。顾名思义,它使用模板来定义要包含在 JSON 中的元素。此布局由 GitHub 上 log4j2-logstash-layout 的作者贡献,他现在是 Log4j 社区的成员。

5.Log4j 2.14.0 添加了对 MongoDB 4 的支持并删除了对 MongoDB 2 的支持。

6.Log4j 2.14.1 保持与以前版本的二进制兼容性。


参考:

  • https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues

  • https://github.com/apache/logging-log4j2/pull/608

  • https://gitbox.apache.org/repos/asf?p=logging-log4j2.git;a=blob;f=log4j-core/src/test/java/org/apache/logging/log4j/core/lookup/JndiRestrictedLookupTest.java;h=032c9c4d85204e6490a734724c8d549c50de7164;hb=d82b47c


修复建议:

1.将Apache log4j2的所有相关应用程序升级至全新的log4j-2.15 0-rc1版本,地址:https:

github.comapachelogging-log4j2releasestaglog4j-2.15.0-rc1

2 升级目前被受影响的程序和组件,例如srping-boot-strater-log4j2Apache SolrApache FlinkApache Druid

/template/Home/ZdsjuX4/PC/Static