内容纲要
概要描述
Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,由安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
截至2021/12/20,已经披露漏洞包括:
· CVE-2021-44228 : 影响版本为 log4j2 <= 2.14.1
· CVE-2021-45046 : 影响版本为 log4j2 <= 2.15.0
· CVE-2021-45105 : 影响版本为 log4j2 <= 2.16.0星环科技部分产品使用到了该组件,本文主要围绕 TBAK 组件 进行漏洞修复具体说明。
详细说明
一、影响范围
| 受影响的组件 | 受影响的组件的版本 |
|---|---|
| TBAK | <=2.3.2-rc1 |
二、漏洞信息收集
检查 TBAK安装路径/unzip/WEB-INF/lib/ 目录下的log4j相关jar包的具体版本,
# 以TABK 2.3.1 版本为例,可以看到当前在用的log4j版本如下
[root@tdh60201/usr/bin/backup-server/unzip/WEB-INF/lib]$ ll log4j-*jar
-rw-r--r-- 1 root root 67114 7月 13 2020 log4j-1.2-api-2.12.1.jar
-rw-r--r-- 1 root root 276771 7月 8 2020 log4j-api-2.12.1.jar
-rw-r--r-- 1 root root 314205 7月 13 2020 log4j-api-scala_2.11-11.0.jar
-rw-r--r-- 1 root root 1674433 7月 13 2020 log4j-core-2.12.1.jar
-rw-r--r-- 1 root root 23518 7月 13 2020 log4j-slf4j-impl-2.12.1.jar三、漏洞修复方案
修复步骤相对比较简单,由于当前TBAK版本没有容器化,所以直接更换上述的jar包,然后重启TBAK即可。
附件:apache-log4j_2.17.0.zip 「点击下载」
1. 更换jar包
# 备份或者删除原始jar包
# log4j-api-scala的jar包不需要更换
[root@tdh60201/usr/bin/backup-server]$ cd unzip/WEB-INF/lib/
[root@tdh60201/usr/bin/backup-server/unzip/WEB-INF/lib]$ rm -rf log4j-1.2-api-2.12.1.jar log4j-api-2.12.1.jar log4j-core-2.12.1.jar log4j-slf4j-impl-2.12.1.jar
#将新版本jar包放置到该目录
[root@tdh60201/usr/bin/backup-server/unzip/WEB-INF/lib]$ mv /tmp/apache-log4j_2.17.0/log4j-*jar .
[root@tdh60201/usr/bin/backup-server/unzip/WEB-INF/lib]$ ll log4j*jar
-rw-r--r-- 1 root root 207909 12月 21 13:30 log4j-1.2-api-2.17.0.jar
-rw-r--r-- 1 root root 301892 12月 21 13:31 log4j-api-2.17.0.jar
-rw-r--r-- 1 root root 314205 7月 13 2020 log4j-api-scala_2.11-11.0.jar
-rw-r--r-- 1 root root 1789565 12月 21 13:31 log4j-core-2.17.0.jar
-rw-r--r-- 1 root root 24258 12月 21 13:32 log4j-slf4j-impl-2.17.0.jar2. 重启TBAK
[root@tdh60201/usr/bin/backup-server]$ sh transwarp-TBAK.sh stop
[root@tdh60201/usr/bin/backup-server]$ sh transwarp-TBAK.sh startBTW, 如有任何相关或其他问题需要解决或需要进一步说明,请立即通过微信「星环科技服务号」公众号提交工单,我们将竭诚为您服务!