近日，基調(diào)聽云關(guān)注到Apache Log4j2存在一處遠程代碼執(zhí)行漏洞（CVE-2021-44228），在引入Apache Log4j2處理日志時，會對用戶輸入的內(nèi)容進行一些特殊的處理，攻擊者可以構(gòu)造特殊的請求，觸發(fā)遠程代碼執(zhí)行。目前POC已公開，風(fēng)險較高。

12月16日，官方披露低于2.16.0版本除了存在拒絕服務(wù)漏洞外，還存在另一處遠程代碼執(zhí)行漏洞（CVE-2021-45046）。

12月18日，官方繼續(xù)發(fā)布了2.17.9版本，用于修復(fù)CVE-2021-45105漏洞。

參考鏈接：https://logging.apache.org/log4j/2.x/security.html

CVE-2021-44228 10.0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

CVE-2021-45046 9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)

CVE-2021-45105 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

影響版本：

2.0-beat9 <= Apache Log4j 2.x < 2.17.0（2.12.2 版本不受影響）

已知受影響的應(yīng)用及組件：spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid

安全版本：

Apache Log4j 1.x 不受影響

Apache Log4j 2.17.0

影響產(chǎn)品：

基調(diào)聽云性能監(jiān)控平臺，包括基調(diào)聽云2.0、3.0以及Saas平臺。

安全產(chǎn)品：

探針和collector不受影響。

目前官方已發(fā)布修復(fù)版本修復(fù)了該漏洞，請受影響的用戶盡快升級Apache Log4j2所有相關(guān)應(yīng)用到安全版本：https://logging.apache.org/log4j/2.x/download.html

Java 8（或更高版本）的用戶建議升級到 2.17.0 版本；

Java 7 的用戶建議升級到2.12.2版本，此版本是安全版本。

無法及時升級的用戶，可參考官方建議將JndiLookup類從classpath中去除，并重啟服務(wù)來進行風(fēng)險規(guī)避：

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

基調(diào)聽云受影響的Saas平臺已于12月10日完成升級。

基調(diào)聽云受影響的私有化版本已經(jīng)提供相應(yīng)的升級補丁。

基調(diào)聽云會持續(xù)監(jiān)測此漏洞及其變種攻擊，使用基調(diào)聽云的客戶已經(jīng)安排技術(shù)人員進行升級。