2021年12月29日，腾讯云安全运营中心监测到，Apache Log4j2 官方发布公告提示其在某些特殊场景下存在远程代码执行漏洞，漏洞编号 CVE-2021-44832。该漏洞仅在攻击者拥有修改配置文件权限时才可远程执行任意代码，漏洞利用难度较大。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Log4j2 是一个基于 Java 的开源日志记录框架，该框架重写了 Log4j 框架，是其前身 Log4j 1.x 的重写升级版，并且引入了大量丰富的特性，使用非常的广泛。该框架被大量用于业务系统开发，用来记录日志信息。

据官方描述，拥有修改日志配置文件权限的攻击者，可以构造恶意的配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用，从而可通过该 JNDI URI 远程执行任意代码。

由于该漏洞要求攻击者拥有修改配置文件权限（通常需借助其他漏洞才可实现），非默认配置存在的问题，漏洞成功利用难度较大。

风险等级

中风险。

漏洞风险

可导致攻击者利用该漏洞远程执行任意代码。

影响版本

2.0-beta7 =< Apache Log4j 2.x < 2.17.0（2.3.2 和 2.12.4 版本不受影响）

安全版本

• Apache Log4j 2.x >= 2.3.2 (Java 6)
• Apache Log4j 2.x >= 2.12.4 (Java 7)
• Apache Log4j 2.x >= 2.17.1 (Java 8 及更新版)

修复建议

目前 Apache Log4j2 官方已有可更新版本，用户可以参照 官方说明 酌情升级至安全版本。

注意：

建议您在升级前做好数据备份工作，避免出现意外。

腾讯安全解决方案

腾讯云 高级威胁检测系统 规则库日期2021-12-29之后的版本，已支持检测 log4j2 远程代码执行漏洞（CVE-2021-44832）。

参考信息

更多信息，请参见 官方安全更新公告 。