首页
当前位置: 首页  >  通知公告  >  正文

【安全通告】Apache Log4j 2存在远程代码执行漏洞

编辑:    发布时间: 2021-12-10    点击数:

近日,某应急响应中心监测到Apache Log4j 2存在远程代码执行漏洞,经验证,该漏洞允许攻击者在目标服务器上执行任意代码,可导致服务器被黑客控制。由于Apache Log4j 2应用较为广泛,建议使用该组件的用户尽快采取安全措施。

应急响应中心已验证该漏洞的可利用性:

一、漏洞影响版本:

Apache Log4j2 < ="2.14.1

二、漏洞描述

Apache Log4j2是一个基于Java的日志记录工具,是对Log4j的升级。近日某应急响应中心监测到Apache Log4j 2存在远程代码执行漏洞,攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

三、处置建议

1.升级到最新版本:

请联系厂商获取修复后的官方版本:

https://github.com/apache/logging-log4j2

已发现官方修复代码,目前尚未正式发布:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

2.缓解措施:

(1). jvm参数 -Dlog4j2.formatMsgNoLookups=true

(2). log4j2.formatMsgNoLookups=True

(3).系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

版权所有©2021  厦门理工学院信息办、信息中心

地址:厦门市集美区理工路600号    邮编:361024    电话:0592-6291559 0592-6291018    传真:0592-6291016