腾讯安全刚刚给出了Log4j2核弹级漏洞线上修复方案！紧急修复

Posted 2023-05-03

参考技术A

2月9日晚，Apache Log4j2反序列化远程代码执行漏洞细节已被公开，Apache Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。

因该组件使用极为广泛，利用门槛很低，危害极大，腾讯安全专家建议所有用户尽快升级到安全版本。

高危，该漏洞影响范围极广，利用门槛很低，危害极大。 CVSS评分：10（最高级）

Apache log4j2 >= 2.0,

Apache log4j2 2.15.0

综合国内机构意见，目前针对Apache Log4j漏洞的主要应对方法如下：

1.Apache Log4j 官方已经发布了解决上述漏洞的安全更新，建议受影响的用户尽快升级到安全版本：

安全版本 ：log4j-2.15.0-rc2

官方安全版本下载可以参考以下链接：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2.建议对 Apache Struts2/Apache Solr/Apache Flink/Apache Druid 等已知受影响的应用及组件进行升级

1.设置jvm参数 -Dlog4j2.formatMsgNoLookups=true。

2.设置log4j2.formatMsgNoLookups=True。

3.设置系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 为 true。

4.采用 rasp 对lookup的调用进行阻断。

5.采用waf对请求流量中的$jndi进行拦截。

6.禁止不必要的业务访问外网。

腾讯安全服务解决方案： https://view.inews.qq.com/a/20211211A032S100

突发。。Apache Log4j2 报核弹级漏洞。。赶紧修复。。

Apache Log4j2 报核弹级漏洞，栈长的朋友圈都炸锅了，很多程序猿都熬到半夜紧急上线，昨晚你睡了吗？？

Apache Log4j2 是一个基于Java的日志记录工具，是 Log4j 的升级，在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化，同时修复了Logback架构中的一些问题，是目前最优秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。

影响版本

2.0 <= Apache log4j2 <= 2.14.1

最新官方补丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

临时解决方案

1）设置 jvm 参数：

-Dlog4j2.formatMsgNoLookups=true

2）日志设置：

log4j2.formatMsgNoLookups=True

3）设置系统环境变量：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4）关闭对应的应用程序的网络外网连接，并且禁止主动外连

参考：https://github.com/apache/logging-log4j2

还没升级的，赶紧检查修复，以免造成损失。。

近期热文推荐：

1.1,000+ 道 Java面试题及答案整理(2021最新版)

2.别在再满屏的 if/ else 了，试试策略模式，真香！！

3.卧槽！Java 中的 xx ≠ null 是什么新语法？

4.Spring Boot 2.6 正式发布，一大波新特性。。

5.《Java开发手册（嵩山版）》最新发布，速速下载！

觉得不错，别忘了随手点赞+转发哦！