1、漏洞描述

腾讯云容器安全服务团队注意到，12月9日晚，Apache Log4j2反序列化远程代码执行漏洞细节已被公开，Apache Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。

因该组件使用极为广泛，利用门槛很低，危害极大，腾讯安全专家建议所有用户尽快升级到安全版本。

2、漏洞风险

高危，该漏洞影响范围极广，利用门槛很低，危害极大。

CVSS评分：10（最高级）

漏洞细节

漏洞PoC

漏洞EXP

在野利用

已公开

已知

已知

已发现

3、漏洞影响版本

Apache log4j2 2.0 - 2.14.1 版本均受影响。

4、安全版本

Apache log4j-2.15.0-rc2

(2.15.0-rc1版，经腾讯安全专家验证可以被绕过)

5、漏洞修复建议

腾讯云容器安全团队建议用户使用腾讯容器安全服务（TCSS）对已使用镜像进行安全扫描，检测修复镜像漏洞，详细操作步骤如下：

（1）登陆腾讯容器安全服务控制台（https://console.cloud.tencent.com/tcss），领取7天免费试用；

（2）依次打开左侧“镜像安全”，对本地镜像和仓库镜像进行排查；

（3）本地镜像/仓库镜像功能-点击一键检测，批量选择ApacheLog4j组件关联镜像，确认一键扫描；

（4）扫描完毕，单击详情确认资产存在Apache Log4j组件远程代码执行漏洞风险；

（5）升级到Apache Log4j到安全版本；

（6）回到容器安全服务控制台再次打开“镜像安全”，重新检测确保资产不受Apache Log4j组件远程代码执行漏洞影响；

（7）确认修复后，基于新镜像重新启动容器。

腾讯T-Sec主机安全（云镜）、腾讯安全T-Sec Web应用防火墙（WAF）、腾讯T-Sec高级威胁检测系统（NDR、御界）、腾讯T-Sec云防火墙产品均已支持检测拦截利用Apache Log4j2远程代码执行漏洞的攻击活动。

官方补丁：

升级Apache Log4j所有相关应用到最新的 Log4j-2.15.0-rc2 版本。

(2.15.0-rc1版，经腾讯安全专家验证可以被绕过)

补丁地址：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

缓解措施：

方案一：修改Java虚拟机启动参数，添加-Dlog4j2.formatMsgNoLookups=true

方案二：代码中配置System.setProperty("log4j2.formatMsgNoLookups","true")，重新打包jar包

关于腾讯安全犀引擎能力

腾讯云容器安全服务集成腾讯安全团队自研犀引擎能力，犀引擎基于公开漏洞库和腾讯安全多年积累的漏洞信息库，可精准识别系统组件及应用组件的漏洞，动态评估漏洞风险，准确定位出需要优先修复关注的漏洞。

（1）支持Redhat、centos、ubuntu、debian、alpine等主流操作系统下的系统组件漏洞扫描，支持java、python、golang、nodejs、php、ruby等主流编程语言的软件包的漏洞扫描。

（2）动态漏洞风险评估基于通用漏洞评分系统(CVSS)，依据漏洞攻击利用的真实传播状态、漏洞修复的难易程度、漏洞可造成的实际危害、安全专家评判等粒度，动态评估漏洞的实际风险。

（3）针对系统组件和应用组件中版本类型多、公开漏洞信息不精确等问题，引擎结合自动化运营和安全专家研判，提供多维精准漏洞识别。

关于腾讯容器安全服务（TCSS）

腾讯容器安全服务（Tencent Container SecurityService, TCSS）提供容器资产管理、镜像安全、运行时入侵检测等安全服务，保障容器从镜像生成、存储到运行时的全生命周期，帮助企业构建容器安全防护体系。

腾讯容器安全服务产品团队结合业内最大规模容器集群安全治理运营经验打磨产品，推动行业标准及规范的编写制定，并首发《容器安全白皮书》，对国内容器环境安全现状进行分析总结，助力云原生安全生态的标准化和健康发展。