大家好,我是yes。
昨晚11點多,我就看到了漏洞推文:
Log4j2,我想這影響也太大了,可以說絕大部分的 Java 框架都會用到 Apache Log4j2。
哎,又是多少人的不眠夜了。
漏洞簡介
Apache Log4j2 是一款優秀的Java日誌框架。該工具重寫了Log4j框架,並且引入了大量豐富的特性。該日誌框架被大量用於業務系統開發,用來記錄日誌資訊。由於Apache Log4j 2某些功能存在遞迴解析功能,攻擊者可直接構造惡意請求,觸發遠端程式碼執行漏洞。
漏洞危害
漏洞利用無需特殊配置,攻擊者可直接構造惡意請求,觸發遠端程式碼執行漏洞。
影響範圍
Apache Log4j 2.x < 2.15.0-rc2
修復措施
建議排查Java應用是否引入log4j-api , log4j-core 兩個jar,若存在使用,極大可能會受到影響,強烈建議受影響使用者儘快進行防護 。
-
升級 Apache Log4j2 所有相關應用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
-
升級已知受影響的應用及元件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid
