安全公告：华耀科技APV、AG、ASF产品均不受log4j2 RCE漏洞影响

       Apache Log4j2 CRE安全漏洞（CVE-2021-44228）爆出后，华耀科技第一时间组织了内部安全团队对该问题进行了研究、验证。经详细排查，华耀科技APV、AG、ASF产品均不受该漏洞影响，特此公告。

       同时，公司ASF Web应用防火墙团队对该漏洞进行了防护测试，ASF默认规则集能够有效防护此漏洞，并且无需升级规则库。此外，华耀也将针对此漏洞发布更具针对性的规则，建议用户开启ASL 更新 ，即可轻松抵御攻击。

防护效果展示：

漏洞载荷

防护效果

日志记录

以下是漏洞详情：

漏洞描述

Apache Log4j是一个基于Java的日志记录工具，Log4j是几种Java日志框架之一。该项目在Apache接手后进行了代码重构，解决了框架中的架构问题并在Log4j 2中提供了一个插件架构，这使其更具扩展性。用户可以更为精确的对日志进行细粒度的控制，支持将日志信息发送到服务器、写入到文件或是发送给GUI组件等，通过定义日志信息的级别、输出格式，发送参数来对日志进行更完善的管理。

Log4j 2.X中采用了LDAP的简单目录服务结构进行日志的查询。在进行递归查询时，JNDI方法在处理查询参数的过程中存在注入漏洞，攻击者可利用该漏洞在未授权的情况下，构造恶意参数以远程方式在目标服务器上执行恶意代码。

漏洞编号:  CNVD-2021-95914   CVE-2021-44228

危害等级：严重

影响范围

Apache Log4j 2.x <= 2.15.0-rc1（据悉，官方rc1补丁有被绕过的风险）

已知受影响应用及组件：

Spring-Boot-strater-log4j2

Apache Struts2

Apache Solr

Apache Druid

Apache Flink

ElasticSearch

Flume

Dubbo

Jedis

Logstash

Kafka

服务端临时缓解措施

1. 设置JVM启动参数-Dlog4j2.formatMsgNoLookups=true。

2. 尽量使用JDK 版本大于11.0.1、8u191、7u201、6u211，需要注意的是，即使是使用了 JDK 高版本也不能完全保证安全，依然存在本地绕过的情况。

3. 限制不必要的业务访问外网。

4. 采用 rasp 对lookup的调用进行阻断。

5. 采用 waf 对请求流量中的${jndi}及变体进行拦截。

服务端组件版本升级

1、如何确认Apache Log4j2相关组件版本

打开项目的pom.xml文件，查看log4j-core的version字段

2、升级Apache Log4j2所有相关应用到最新的 log4j-2.16.0-rc1 版本，地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.16.0-rc1

3、升级已知受影响的应用及组件，如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid等