艺赛旗产品 Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)的修复方案

一、背景介绍

监测发现,Apache 开源项目 Apache Log4j2 存在远程代码执行高危漏洞。经分析研判,由于该项目中基于 Java 的日志记录工具 Apache Log4j2 未对输入数据进行严格判断,攻击者可通过传递恶意数据的方式触发该漏洞,在目标服务器上实现任意代码执行。受影响的版本是 Apache Log4j-core 2.0-2.15.rc1。

鉴于 Apache Log4j2 广泛应用于各种业务系统,该漏洞影响范围大,利用难度低,建议尽快对 Apache Log4j 进行安全加固。

该漏洞的编号为 CVE-2021-44228,别名 Log4Shell。

二、受影响版本

Apache Log4j-core 2.x<2.15.0-rc2。

如果应用系统仅仅引用log4j-api包,未引用log4j-core包,则不再此次影响范围内。

三、修复说明

根据 Log4j2 的官方情况,支持 JDK6 的最后版本是 2.3,支持 JDK7 的最后版本是 2.12.1。
根据官方与艺赛旗全系列产品情况,故退出艺赛旗全系列产品简化升级方案。

四、修复方案下载地址

1、艺赛旗修复方案简化版本.zip (推荐)
2、艺赛旗修复方案完整版本.zip (不推荐)

五、简化版与完整版区别

1、简化版只升级有漏洞的地方,采取的原则是最少改动解决问题,如果能升级最新版本,则升级,如果不能升级,则删除 log4j-core 中引发漏洞的 Jndilookup 与 iJndiManager 两个类
优点是对整个应用改动的少,因此漏洞修复后出现问题的纪律降至最低。
2、完全版针对全部的低于官网最新的版本进行升级,因此升级工作量大,即使针对相应测试后也有可能出现未知的问题。