【漏洞详情】

Apache Log4j 是 Apache 的一个开源项目，通过使用 Apache Log4j，可以控制日志信息输送至控制台、文件、GUI 组件，甚至是套接口服务器、NT 的事件记录器、UNIX Syslog 守护进程等；也可以控制每一条日志的输出格式；通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。 平安云监测到一则 Apache Log4j 组件存在代码执行漏洞的信息，漏洞编号：CVE-2021-4104。配置文件被攻击者控制后，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行任意代码，最终控制服务器。此漏洞与 Apache Log4j2 远程代码执行漏洞 CVE-2021-44228 的原理不同，且影响范围不同。

【风险评级】

高危

【影响范围】

       Apache Log4j 1.x（目前 Apache Log4j 1.x 版本已经不维护）

【修复建议】

当前官方已不再维护 Apache Log4j 1.x ，建议受影响的用户及时更新至Apache Log4j2最新版本。链接如下：

https://github.com/apache/logging-log4j2/tags

临时修复建议：

该临时修复建议存在一定风险，建议用户可根据业务系统特性审慎选择采用临时修复方案：

检测Log4j配置文件，如果存在类似log4j.appender.jms=org.apache.log4j.net.JMSAppender的JMSAppender配置，建议在业务功能允许的条件下删除此配置。

【参考链接】

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年12月16日