漏洞通告 | Apache Log4j任意代码执行漏洞及用户自查建议（紧急高危！！！）

12月09日，Apache Log4j任意代码执行漏洞被发现，据了解Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

对于该漏洞，目前官网上暂未有相关应对举措，因此，比特豹安全建议各位用户先进行自我排查，以下是比特豹安全工程师根据本次漏洞作出的有效自我排查方式，用户可根据各自需求选择其中一种或几种进行自我排查。

一、人工检测

1、相关用户可根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构，判断是否使用了存在漏洞的组件，若存在相关Java程序包，则很可能存在该漏洞。

2、若程序使用Maven打包，查看项目的pom.xml文件中是否存在下图所示的相关字段，若版本号为小于2.15.0，则存在该漏洞。

3、若程序使用gradle打包，可查看build.gradle编译配置文件，若在dependencies部分存在org.apache.logging.log4j相关字段，且版本号为小于2.15.0，则存在该漏洞。

二、攻击排查

1、攻击者在利用前通常采用dnslog方式进行扫描、探测，常见的漏洞利用方式可通过应用系统报错日志中的"javax.naming.CommunicationException"、

"javax.naming.NamingException: problem generating object using object factory"、"Error looking up JNDI resource"关键字进行排查。

2、攻击者发送的数据包中可能存在"${jndi:}" 字样，推荐使用全流量或WAF设备进行检索排查。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息，因此本次漏洞影响范围广泛，目前可确认的受影响版本包括：

Log4j -2<= 2.14.1

1. 目前官网暂未有相应补丁下载链接，用户可选择下载临时补丁，并时刻关注比特豹安全以获得最新漏洞消息：

 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2.升级已知受影响的应用及组件，如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

3.紧急解决方案：
    log4j2.formatMsgNoLookups=True
    如遇紧急情况，可按照以下方式进行紧急避险：