Apache Log4j2 拒绝服务漏洞的紧急预警
发布时间:2021-12-23
点击数:
一、安全预警
近期,发现 Apache Log4j2 拒绝服务漏洞,Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了 该组件。应用范围非常广,因此威胁影响范围巨大。 请各重点单位高度重视,加强网络安全防护,切实保障网络 系统安全稳定运行。
二、事件信息
(一)事件概要
事件名称:Apache Log4j2 拒绝服务漏洞 漏洞编号:CVE-2021-45105
威胁类型:拒绝服务
威胁等级:高
受影响的应用版本:2.0-beta9 <= Apache Log4j <= 2.16.0
(二)漏洞描述
当日志记录配置使用非默认的模式布局和上下文查找(例 如,$${ctx:loginId})时,控制线程上下文映射 (MDC) 输入数据的攻击者可以手工创建包含递归查找的恶意输入数据,从 而导致 StackOverflowError 将终止进程。
(三)影响范围
2.0-beta9 <= Apache Log4j <= 2.16.0
三、处置建议
(一)解决方案
官方已经提供最新版本,参考链接如下: https://github.com/apache/logging-log4j2/tags
四、应急处置建议
一旦发现系统中存在漏洞被利用的情况,请您第一时间通知我司,同时开展以下紧急处置:
一是立即断开被入侵的主机系统的网络连接,防止进一步危 害
二是留存相关日志信息;
三是通过“解决方案”加固系统并通过检查确认无相关漏洞 后再恢复网络连接