Log4j2 重大漏洞!這影響也太大了吧….

大家好,我是yes。
昨晚11點多,我就看到了漏洞推文:
Log4j2,我想這影響也太大了,可以說絕大部分的 Java 框架都會用到 Apache Log4j2。
哎,又是多少人的不眠夜了。

漏洞簡介

Apache Log4j2 是一款優秀的Java日誌框架。該工具重寫了Log4j框架,並且引入了大量豐富的特性。該日誌框架被大量用於業務系統開發,用來記錄日誌資訊。由於Apache Log4j 2某些功能存在遞迴解析功能,攻擊者可直接構造惡意請求,觸發遠端程式碼執行漏洞。

漏洞危害

漏洞利用無需特殊配置,攻擊者可直接構造惡意請求,觸發遠端程式碼執行漏洞

影響範圍

Apache Log4j 2.x < 2.15.0-rc2

修復措施

建議排查Java應用是否引入log4j-api , log4j-core 兩個jar,若存在使用,極大可能會受到影響,強烈建議受影響使用者儘快進行防護 。
  1. 升級 Apache Log4j2 所有相關應用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
  2. 升級已知受影響的應用及元件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

閱讀原文