高危 Bug!Apache Log4j2 远程代码执行漏洞细节曝光:官方正在修复中
Apache Log4j2
漏洞描述
srping-boot-strater-log4j2
Apache Solr
Apache Flink
Apache Druid
解决方案
JVM 参数添加 -Dlog4j2.formatMsgNoLookups=true
log4j2.formatMsgNoLookups=True
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
之前,就已经不知道多少次听到关于 log4j 漏洞的消息了,现在又直接来了个被恶意公开的新 0day,且影响面极广。
据 payload 公开信息显示,目前全球范围内大量网站已经被该漏洞“攻陷”,比如百度:
还有 iCloud:
更新:
据 Apache 官方最新信息显示,release 页面上已经更新了 Log4j 2.15.0 版本:
由于正式发布工作正在进行中,因此对外暂时还无法看到 2.15 版本。
据 Apache 方面人士透露,目前 Maven Central 上仍有 0 个工件,可能需要几个小时后才能同步镜像服务器并正式对外采用。更多后续,我们持续关注。
https://github.com/apache/logging-log4j2
评论