12月9号到现在,技术圈炸了。大家都在关注一个漏洞:ApacheLog4j2RemoteCodeExecution。该漏洞一旦被攻击者利用,将造成严重危害。图片来自Pexels。由于该组件广泛应用于各种Java程序中,影响范围巨大,排查难度大,危害性非常大。很多互联网公司程序员熬夜加班加急抢修。漏洞介绍ApacheLog4j2是一个优秀的Java日志框架。这个工具重写了Log4j框架,引入了很多丰富的特性。日志框架广泛应用于业务系统开发中,用于记录日志信息。由于ApacheLog4j2部分函数的递归解析功能,攻击者可以直接构造恶意请求,触发远程代码执行漏洞。漏洞HarmExploitation不需要特殊配置,攻击者可以直接构造恶意请求触发远程代码执行漏洞。影响范围ApacheLog4j2.x<=2.14.1修复措施建议检查Java应用是否引入了log4j-api和log4j-core这两个jar。如果使用它们,它们很可能会受到影响。强烈建议受影响的用户尽快采取保护措施。①将ApacheLog4j2所有相关应用升级到最新的log4j-2.15.0-rc2版本,地址如下:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2②升级已经完成了解受影响的应用程序和组件,如:spring-boot-strater-log4j2ApacheSolrApacheFlinkApacheDruid......紧急缓解措施如果来不及更新版本修复问题,可以采用以下方法紧急缓解:①修改jvm参数-Dlog4j2.formatMsgNoLookups=true②修改配置:log4j2.formatMsgNoLookups=True③设置系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS为true
