嚴重危險級別！Apache存在Log4j遠程代碼執(zhí)行漏洞

大家好，我是杰哥。

前天晚上一直到昨天技術圈可謂是炸鍋了，所有人都在關注著一個漏洞：Apache Log4j 2 遠程代碼執(zhí)行。該漏洞一旦被攻擊者利用會造成嚴重危害。

由于該組件廣泛應用在各個 Java 程序中，影響范圍極大，排查難度大，危害性很高，很多互聯(lián)網公司的程序員們熬夜加班急修復。

漏洞簡介

Apache Log4j 2 是一款優(yōu)秀的 Java 日志框架。該工具重寫了 Log4j 框架，并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務系統(tǒng)開發(fā)，用來記錄日志信息。

由于 Apache Log4j 2 某些功能存在遞歸解析功能，攻擊者可直接構造惡意請求，觸發(fā)遠程代碼執(zhí)行漏洞。

漏洞危害

漏洞利用無需特殊配置，攻擊者可直接構造惡意請求，觸發(fā)遠程代碼執(zhí)行漏洞。

影響范圍

Apache Log4j 2.x <= 2.14.1

修復措施

建議排查 Java 應用是否引入 log4j-api , log4j-core 兩個 jar，若存在使用，極大可能會受到影響，強烈建議受影響用戶盡快進行防護。

① 升級 Apache Log4j 2 所有相關應用到最新的 log4j-2.15.0-rc2 版本，地址如下：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

② 升級已知受影響的應用及組件，如：

• spring-boot-strater-log4j2

• Apache Solr

• Apache Flink

• Apache Druid

• ……

緊急緩解措施

如果還來不及更新版本修復，可通過下面的方法緊急緩解問題：

① 修改jvm參數 -Dlog4j2.formatMsgNoLookups=true

② 修改配置：log4j2.formatMsgNoLookups=True

③ 將系統(tǒng)環(huán)境變量

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為 true

順便說一句，歡迎添加我的私人微信，做個點贊之交，一起學習交流，共同進步。

近期原創(chuàng)