『更新影响范围』
Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。
影响范围:Apache Log4j 2.x < 2.15.0-rc2
综合评估利用难度低,利用要求少,影响范围很大,且已经被黑客公开利用全网扫描,根据部里要求,需要紧急修复。
修复方案:
1、紧急缓解措施:
(1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2) 修改配置log4j2.formatMsgNoLookups=True
(3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
2.升级到最新版本:
请联系厂商获取修复后的官方版本:
https://github.com/apache/logging-log4j2
目前最新版本2.15.0-rc2
3.禁止使用log4j服务器外连,升级idk 11.0.1 8u191 7u201 6u211或更高版本。
![[测试]WEB日志审计工具 teler-微慑信息网-VulSee.com](https://vulsee.com/wp-content/uploads/2024/03/695a48b0bc02a11b7d41de2b76f6a7f9.png)
![[八卦] 王婷婷—揭秘一个大三女生的性爱录像-微慑信息网-VulSee.com](http://free.86hy.com/crack/pic/1.jpg)
![[随笔]今天国际警察节-微慑信息网-VulSee.com](http://photo.sohu.com/20041017/Img222528326.jpg)
青云网
