12月10日凌晨,Apache开源项目Log4j2远程代码执行漏洞详情公开,漏洞威胁等级为危急。Log4j2是一个基于Java的日志记录工具。它重写了Log4j框架,引入了大量丰富的特性,允许用户控制日志信息传输的目的地为控制台、文件、GUI组件等。同时,通过定义每条日志信息的级别,用户可以更详细地控制日志生成过程。Log4j是目前世界上使用最广泛的java日志记录框架之一。该漏洞还影响了很多全球使用率最高的开源组件,如ApacheStruts2、ApacheSolr、ApacheDruid、ApacheFlink等。由于该漏洞容易被利用,一旦攻击者利用该漏洞,任意代码可在目标服务器上执行,对受害者造成极大的伤害。漏洞详情该漏洞主要是由于Log4j2自带的查找函数存在JNDI注入漏洞,可以帮助开发者通过一些协议读取对应环境中的配置。该漏洞的触发方式非常简单。只要在日志内容中包含关键字${,就可以将其中包含的内容替换为变量,攻击者可以在没有任何权限的情况下执行任意命令。受该漏洞影响的版本为:ApacheLog4j2.x<=2.14.1同时,如果您使用以下应用,您也会受到该漏洞的影响:Spring-Boot-strater-log4j2ApacheStruts2ApacheSolrApacheFlinkApacheDruidElasticSearchflumedubbologstashkafka漏洞修复目前已发布新版本log4j-2.15.0-rc2,修复了该漏洞。希望您能尽快升级到新版本。官方链接:https://github.com/apache/log...如果您临时不方便升级版本,也可以使用以下方法进行紧急处理,尽快完成版本升级:修改jvm参数-Dlog4j2.formatMsgNoLookups=true修改配置log4j2.formatMsgNoLookups=True设置系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS为true是否是前年ApacheShiro的cookie持久化参数rememberMe加密算法漏洞,还是Fastjson远程代码执行去年五月的漏洞通知。网络安全似乎总是有各种各样的问题,但发现漏洞并修复它们本身就是一种升级。不动的安全方法很快就会被攻破,只有不断的更新升级才是真正的网络安全。推荐阅读CSSBox的MarginCollapse流行脚本杀与SaaS不解之缘
