log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。 一、Apache Log4j2 代码执行漏洞影响范围:
用户认证:不需要用户认证
触发方式:远程
配置方式:默认
利用条件:需要外网访问权限
影响版本:2.0 ≤ Apache Log4j2 < 2.15.0-rc2
利用难度:极低,无需授权即可远程代码执行
威胁等级:严重,能造成远程代码执行
综合评估漏洞利用难度极低,利用要求较少,影响范围很大,危害极其严重,且已经被黑客公开利用持续全网扫描,根据部里要求,需要紧急修复。
1. 配置网络防火墙,禁止 log4j2 组件所在服务器主动外连网络,包含不限于DNS、TCP/IP、ICMP。 2. 紧急加固缓解措施: ① 修改JVM启动参数: -Dlog4j2.formatMsgNoLookups=true。 ② 在应用classpath下添加 log4j2.component.properties配置文件: log4j2.formatMsgNoLookups=True。 ③ 系统环境变量: FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true。 3. 排查应用是否引入了Apache Log4j2 Jar包,若存在依赖引入,则可能存在漏洞影响。尽快升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc2 版本: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2 可能存在后期漏洞被绕过风险,以最新版本为准。 4. JDK使用11.0.1、8u191、7u201、6u211及以上的高版本。 5. 升级已知受影响的应用及组件,如 spring-boot-starter-log4j2、Apache Struts2、Apache Solr、Apache Druid、Apache Flink。 |
| ·上一条:Apache Log4j2 代码执行漏洞事件起因 | ·下一条:工业和信息化部关于印发“十四五”软件和信息技术服务业发展规划的通知 |  |
