主题 | CVE-2021-44228 Log4j 远程代码执行漏洞 |
---|---|
公告发布日期 | 2021-12-01 |
影响产品 | X |
CVE ID | https://logging.apache.org/log4j/2.x/security.html |
说明
Atlassian安全团队目前正在调查Log4j远程代码执行漏洞(CVE-2021-44228)的影响,并确定对我们的本地产品的任何可能影响。
到目前为止,我们认为我们的本地部署产品在其默认配置中不易受到攻击。但是,如果您修改了默认日志记录配置(log4j.properties)并启用JMS Appender功能,则可以在以下产品中远程执行代码:
Jira Server & Data Center
Confluence Server & Data Center
Bamboo Server & Data Center
- Crowd Server & Data Center
Fisheye
Crucible
我们可以通过检查Log4j配置文件来检查是否存在漏洞。如果找到包含配置项 org.apache.log4j.net.JMSAppender,
那么它可能会受到影响
我们建议将它进行屏蔽。
临时防范
- 增加修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
- 修改配置 log4j2.formatMsgNoLookups=True
- 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
各产品log4j配置文件
产品 | 默认路径 |
---|---|
Jira Server & Data Center | |
Confluence Server & Data Center | |
Bamboo Server & Data Center | |
Fisheye / Crucible | |
Crowd |
|
Bitbucket
目前不受影响
BItubcket的日志组件使用的logback,具体可参见:http://logback.qos.ch/
如果不放心,可以将log4j的几个jar包替换掉
- 步骤一
将安装目录下的app/WEB-INF/lib中的四个文件删除掉
- 步骤二
将附件中的4个文件更新安装目录app/WEB-INF/lib下
https://confluence.atlassian.com/kb/faq-for-cve-2021-44228-1103069406.html