全民日志组件 Apache Log4j2 爆发漏洞,赶紧加班修复

Posted 哪 吒

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了全民日志组件 Apache Log4j2 爆发漏洞,赶紧加班修复相关的知识,希望对你有一定的参考价值。

一、日志漏洞,劲爆来袭

近日,Apache Log4j2 的远程代码执行漏洞刷爆网络,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,Apache Log4j2可是全民级的日志组件,百分之九十的java项目,都是通过log4j2输出日志的,甚至BAT大厂也是如此,很多互联网企业也都连夜做了应急措施。据说是阿里团队发现的,再次膜拜阿里爸爸。

二、漏洞详情

打印日志时,如果是一段可执行的代码或超链,就会有被执行的可能,类似于sql注入,秒懂没?
这可能导致服务器被黑客控制,从而进行页面篡改、数据被盗、网络瘫痪等行为。

三、解决方案

1、民间解决方案:

  1. 升级到最新版,log4j2最新版下载地址,由于事态紧急,小编也没有进行实际的测试。
  2. 对日志进行加密解密操作,纳尼?对日志进行加密解密?那岂不是很耗费性能。

2、官方解决方案:

  1. 禁止没必要的外网访问;
  2. 设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true” 在应用 classpath下添加 log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;
  3. 系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

添加微信,备注6666,报名参加CSDN第二季新星计划

以上是关于全民日志组件 Apache Log4j2 爆发漏洞,赶紧加班修复的主要内容,如果未能解决你的问题,请参考以下文章

Apache Log4j2远程代码执行漏洞

Apache Log4j2远程代码执行漏洞处理

Apache Log4j2远程代码执行漏洞攻击,华为云安全支持检测拦截

Apache Log4j2 远程代码执行漏洞说明

漏洞预警CVE-2021-44228:Apache Log4j2存在任意代码执行漏洞

Apache Log4j2 远程代码执行漏洞分析+检测+防护