关于CVE-2021-44228 log4j2远程代码执行漏洞说明及解决方案

摘要

漏洞编号: CVE-2021-44228，名称为Log4Shell或者LogJam

漏洞类型: Remote Code Execution (RCE)

组件名称: Apache log4j2

影响范围: 2.0.0 ≤ Apache Log4j2 ≤ 2.15.0-rc1

利用难度: 容易

威胁等级: 严重

   背景描述

在2021年12月9日，一个Apache log4j2组件的严重远程代码执行漏洞被公开。Log4j Java库被用于Apache软件基金会发布的产品，如Apache Struts、Apache Flink、Apache Tomcat、Apache Flume、Apache Solr、Apache Kafka等，以及其他开源项目，如Redis，ElasticSearch，Elastic Logstash等。

许多大型软件公司和在线服务都使用Log4j库，包括亚马逊、苹果iCloud、思科、Cloudflare、ElasticSearch、Red Hat、Steam、特斯拉、Twitter等等。与其他众所周知的漏洞如Heartbleed和Shellshock一样，由于其易于使用，攻击者可以利用该漏洞远程执行代码，最终获取服务器最高权限，目前卡巴斯基已经发现大批量在野利用。

影响范围

Apache Log4j2是一款非常优秀且流行的开源Java日志记录组件，在项目开发中有着广泛的应用，其中包括企业应用程序以及大量的云服务等。该漏洞危害性高，涉及行业和客户广泛，导致该漏洞潜在影响巨大。由于Log4j2如此受欢迎，一些信息安全研究人员预计，未来几天对漏洞服务器的攻击将显著增加。

目前受影响的Apache Log4j2版本：2.0.0 ≤ Apache Log4j ≤ 2.15.0-rc1

解决方案

1.目前，Apache软件基金会已发布最新版本，建议受影响的用户及时更新升级到最新版本log4j-2.15.0-rc2：

https://logging.apache.org/log4j/2.x/security.html

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2.对于该漏洞还有一个临时的缓解措施：

设置log4j2.formatMsgNoLookups=true

3、目前，卡巴斯基网络安全产品，例如KIS（卡巴斯基安全软件），KESL（卡巴斯基网络安全解决方案 - Linux），KES（卡巴斯基网络安全解决方案）等诸多产品都能够成功检测该漏洞利用。

检测结果：UMIDS:Intrusion.Generic.CVE-2021-44228.*

请确保您使用的卡巴斯基网络安全产品正确安装并启用各项防护组件，同时请及时更新特征库。