開源的東西用的人多了，自然漏洞就多。Apache用于日志記錄的組件Log4j使用非常靈活，在相當多的開源項目中都有使用，此次漏洞影響所有Apache Log4j 2.*系列版本：?Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1，使用Java 7+的用戶應立即升級至2.8.2版本。綠盟科技發布安全威脅通告，通告全文如下：

Apache Log4j是什么

Log4j是Apache的一個開源項目，通過使用Log4j，我們可以控制日志信息輸送的目的地是控制臺、文件、GUI組件，甚至是套接口服務器、NT的事件記錄器、UNIX?Syslog守護進程等；我們也可以控制每一條日志的輸出格式；通過定義每一條日志信息的級別，我們能夠更加細致地控制日志的生成過程。最令人感興趣的就是，這些可以通過一個配置文件來靈活地進行配置，而不需要修改應用的代碼。

綠盟科技《?Apache Log4j反序列化漏洞安全威脅通告?》

通告全文如下

北京時間18日清晨，Apache Log4j 被曝出存在一個反序列化漏洞(CVE-2017-5645)。攻擊者可以通過發送一個特別制作的2進制payload，在組件將字節反序列化為對象時，觸發并執行構造的payload代碼。該漏洞主要是由于在處理ObjectInputStream時，接收器對于不可靠來源的input沒有過濾。可以通過給TcpSocketServer和UdpSocketServer添加可配置的過濾功能以及一些相關設置，可以有效的解決該漏洞。目前Log4j官方已經發布新版本修復了該漏洞。

相關地址：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=%09CVE-2017-5645

https://issues.apache.org/jira/browse/LOG4J2-1863

http://seclists.org/oss-sec/2017/q2/78

影響范圍

受影響的版本

所有Apache Log4j 2.*系列版本：?Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1

不受影響的版本：?Apache Log4j 2.8.2

規避方案

• 使用Java 7+的用戶應立即升級至2.8.2版本或者避免使用socket server的相關類。參考鏈接：

https://issues.apache.org/jira/browse/LOG4J2/fixforversion/12339750/?selectedTab=com.atlassian.jira.jira-projects-plugin:version-summary-panel

• 使用Java 6的用戶應該避免使用TCP或者UDP 的socket server相關類，用戶也可以手動添加2.8.2版本更新的相關代碼來解決該漏洞。

參考鏈接：

• https://git-wip-us.apache.org/repos/asf?p=logging-log4j2.git;h=5dcc192

綠盟科技聲明

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失，均由使用者本人負責，綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告，必須保證此安全公告的完整性，包括版權聲明等全部內容。未經綠盟科技允許，不得任意修改或者增減此安全公告內容，不得以任何方式將其用于商業目的。

原文發布時間：2017年4月18日

本文由：綠盟科技發布，版權歸屬于原作者

原文鏈接:http://toutiao.secjia.com/apache-log4j-deserialization-vulnerabilities-cve-2017-5645

本文來自云棲社區合作伙伴安全加，了解相關信息可以關注安全加網站