专业的加密软件开发及服务商--科兰美轩欢迎您!
咨询热线:400-873-1393 (20线)     官方微信  |  收藏网站  |  联系我们
Apache Log4j2 代码执行漏洞的影响范围及安全建议 加密软件 > 行业资讯
新闻来源:科兰美轩加密软件转摘自网络   发布时间:2021年12月11日   此新闻已被浏览 141

log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。

一、Apache Log4j2 代码执行漏洞影响范围:

用户认证:不需要用户认证

触发方式:远程

配置方式:默认

利用条件:需要外网访问权限

影响版本:2.0 ≤ Apache Log4j2 < 2.15.0-rc2

利用难度:极低,无需授权即可远程代码执行

威胁等级:严重,能造成远程代码执行

综合评估漏洞利用难度极低,利用要求较少,影响范围很大,危害极其严重,且已经被黑客公开利用持续全网扫描,根据部里要求,需要紧急修复。


      二Apache Log4j2 代码执行漏洞安全建议:

1. 配置网络防火墙,禁止 log4j2 组件所在服务器主动外连网络,包含不限于DNS、TCP/IP、ICMP。

2. 紧急加固缓解措施:

① 修改JVM启动参数:

-Dlog4j2.formatMsgNoLookups=true。

② 在应用classpath下添加

log4j2.component.properties配置文件:

log4j2.formatMsgNoLookups=True。

③ 系统环境变量:

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true。

3. 排查应用是否引入了Apache Log4j2 Jar包,若存在依赖引入,则可能存在漏洞影响。尽快升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc2 版本:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

可能存在后期漏洞被绕过风险,以最新版本为准。

4. JDK使用11.0.1、8u191、7u201、6u211及以上的高版本。

5. 升级已知受影响的应用及组件,如

spring-boot-starter-log4j2、Apache Struts2、Apache Solr、Apache Druid、Apache Flink。


·上一条:Apache Log4j2 代码执行漏洞事件起因 | ·下一条:工业和信息化部关于印发“十四五”软件和信息技术服务业发展规划的通知