有关Log4j2 漏洞风险的安全性声明！

2021-12-14

12月9日晚间，Apache Log4j2 的远程代码执行漏洞细节被公开，该漏洞一旦被攻击者利用会造成严重危害。易路安全团队第一时间与产品团队展开自查，经验证，易路所有产品包括People+及易个税等，均未使用Apache Log4j2组件，并未受到该组件漏洞【Apache Log4j2远程代码执行漏洞(CVE-2021-44228)】的影响，用户无需对易路产品更新版本或进行其他特殊操作，请放心使用。同时温馨提醒企业用户做好自身安全防护与自查。

一、漏洞情况分析

Apache Log4j2 是一款开源的 Java 日志记录工具，大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相

应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。

由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置漏洞情况分析：Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本，通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发，用以记录程序输入输出日志信息。2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。

可能受到影响的应用包括但不限于如下：

■ Spring-Boot-strater-log4j2

■ Apache Struts2

■ Apache Solr

■ Apache Flink

■ Apache Druid

■ ElasticSearch

■ flume

■ dubbo

■ Redis

■ logstash

■ kafka