Apache Log4j2 远程代码执行漏洞修复
Posted 沛沛老爹
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Apache Log4j2 远程代码执行漏洞修复相关的知识,希望对你有一定的参考价值。
近日国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞,通用漏洞编号CNVD-2021-95914。
Apache Log4j2是一款Java日志框架,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞,漏洞利用无需特殊配置。漏洞等级为:高危。
目前受影响范围如下:
Apache Log4j 2.x < 2.15.0-rc2
建议使用相关组件的开发者进行自查,发现存在该漏洞后及时按照以下方案进行处置:
1、禁用lookup属性
1)2.10.0 及以上版本,在 java 启动参数增加配置 -Dlog4j2.formatMsgNoLookups=true
2)2.9.x 版本,升级至 2.10.0,再进行配置
2、更新至 Apache Log4j 2.15.0版本 ,地址 https://dlcdn.apache.org/logging/log4j/2.15.0
3、开启waf防护,并确认waf已更新Apache Log4j远程代码执行规则
以上是关于Apache Log4j2 远程代码执行漏洞修复的主要内容,如果未能解决你的问题,请参考以下文章
烽火狼烟丨Apache Log4j2远程代码执行漏洞(CVE44832)通告