Log4j2 重大漏洞!上万个项目中枪...

JavaGuide

共 1749字,需浏览 4分钟

 ·

2021-12-14 03:41

大家好,我是 Guide。今天一大早就看到群里有小伙伴说 Log4j2 的远程代码执行漏洞的事情,在这里再提示一下,以防有小伙伴还没有看到。

Apache 这次又要背锅了,这漏洞的影响范围太广(绝大部分公司都会受影响),又是一个可以载入历史的漏洞。

漏洞描述

Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量通用应用及组件,例如:

  • Apache Struts2
  • Apache Solr
  • Apache Druid
  • Apache Flink
  • Apache Flume
  • Apache Dubbo
  • Apache Kafka
  • Spring-boot-starter-log4j2
  • ElasticSearch
  • Redis
  • Logstash

建议及时检查并升级所有使用了 Log4j 组件的系统或应用。

漏洞评级

Apache Log4j 远程代码执行漏洞,严重!

金山毒霸直接把这次漏洞等级设置为了最高级。

影响版本

经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下:

Apache Log4j 2.x < 2.15.0-rc2

安全建议

1、排查应用是否引入了 Apache log4j-core Jar 包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

3、可升级 jdk 版本至 6u211 / 7u201 / 8u191 / 11.0.1 以上,可以在一定程度上限制 JNDI 等漏洞利用方式。

相关链接

1、https://github.com/apache/logging-log4j2

2、https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues


············  END  ··············

也许你还想看
  | 这样使用 IDEA ,效率提升10倍!| IDEA 高效使用指南
  | IntelliJ IDEA 永远滴神?
  | 官宣!我升级了!!!
  | 我在 B 站淘了 2 个 Java 实战项目! 小破站,YYDS!
  | 再见 Spring Task,这个定时任务框架真香!
  | 一键生成数据库文档,堪称数据库界的Swagger
  | 阿里开源的15个顶级Java项目!!!
  | 面试八股文,YYDS!

我是 Guide哥,一个工作2年有余,接触编程已经6年有余的菜鸟。大三开源 JavaGuide,目前已经 100k+ Star。未来几年,希望持续完善 JavaGuide,争取能够帮助更多学习 Java 的小伙伴!共勉!凎!点击即可了解我的个人经历

简历指导/Java 学习/面试指导/面试小册,欢迎加入我的知识星球(公众号后台回复“星球”即可)。

如果本文对你有帮助的话,欢迎点赞&在看&分享,这对我继续分享&创作优质文章非常重要。感谢🙏🏻

浏览 36
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报