1、漏洞简介

Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

2、漏洞危害

漏洞利用无需特殊配置,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

3、漏洞编号

暂无

4、影响范围

Apache Log4j 2.x <= 2.14.1

5、修复措施

建议排查Java应用是否引入log4j-api , log4j-core 两个jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护 。

  1. 升级Apache Log4j 2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

  2. 升级已知受影响的应用及组件,如:

    1. spring-boot-strater-log4j2

    2. Apache Solr

    3. Apache Flink

    4. Apache Druid

6、紧急缓解措施:

如果还来不及更新版本修复,可通过下面的方法紧急缓解问题

(1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true

(2) 修改配置:log4j2.formatMsgNoLookups=True

(3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

技术交流群

最近有很多人问,有没有读者交流群,想知道怎么加入。加入方式很简单,有兴趣的同学,只需要点击下方卡片,回复“加群“,即可免费加入我们的高质量技术交流群!

点击阅读原文,送你免费Spring Boot教程!

紧急!Log4j 史诗级漏洞来袭,已引起大规模入侵,速速自查!相关推荐

  1. Log4j史诗级漏洞,我们这些小公司能做些什么?

    事件背景 12月10日,看到朋友圈中已经有人在通宵修改.上线系统了.随即,又看到阿里云安全.腾讯安全部门发出的官方报告:"Apache Log4j2存在远程代码执行漏洞",且漏洞已 ...

  2. 史诗级漏洞爆发,Log4j 背后的开源人何去何从?

    近年来,开源热潮席卷全球,纵观全球信息产业,更是呈现"得开源者得生态,得开源者得天下"的态势.在此趋势下,众多互联网企业争相拥抱开源,"开源"一词被推上了前所未 ...

  3. Log4j 2漏洞(CVE-2021-44228)的快速响应

    简介 2021 年 12 月 9 日,在Log4j的 GitHub 上公开披露了一个影响多个版本的 Apache Log4j 2 实用程序的高严重性漏洞 CVE-2021-44228.CVSSv3 1 ...

  4. 推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?

    作者 | 马超 来源 | CSDN(ID:CSDNnews) 近日,全球安全事件频发,先是推特惊爆史诗级漏洞,黑客对推特进行比特币钓鱼骗局,获取了对包括美国前总统奥巴马.钢铁侠埃隆·马斯克.和世界首富 ...

  5. OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署

    <OpenShift 4.x HOL教程汇总> 说明:本文已经在 OpenShift 4.9 + RHACS 环境中验证,需要先完成<OpenShift Security (2) - ...

  6. 高危bash漏洞来袭,小心你的服务器!

    高危bash漏洞来袭,小心你的服务器! 背景: 北京时间9月25日消息,Linux用户今天又得到了一个"惊喜"!Red Hat安全团队在 Linux 中广泛使用的Bash shel ...

  7. MS17-010漏洞利用工具系统入侵(实测)

    MS17-010漏洞利用工具系统入侵(实测) 一.打开kali和win7查看IP. (1) Windows7作为靶机 (2) Kali作为攻击机(最新版kaili) 二.打开kali进入终端输入nma ...

  8. 关于Log4j高危漏洞的反思

    你用Log4j 吐了吗? 反正我是吐了一个月了. 2021年11月份底,log4j官网发布了log4j的漏洞,消息一出,整个IT互联网行业几乎都是后院着火.漏洞的原理很简单,但是其危害相当于把服务器变 ...

  9. 阿里云盘内测申请_阿里云网盘强势来袭,内测资格速速申请

    网盘荟萃 国产:360云盘.微云.天翼云盘.115网盘.金山快盘.蓝奏云.新浪微盘.360云盘.迅雷快盘.金山快盘.华为网盘.UC网盘--等 国外:Google Drive.onedrive--等 网 ...

最新文章

  1. HDOJ How many ways?? 2157【矩阵高速幂】
  2. JSON,数组根据字段分组
  3. 深度学习之TensorFlow
  4. ireport模块之间的动态传参及拼接SQL
  5. 背景图宽度自适应及背景图合并的CSS思想
  6. 【Val】对于博客使用些许意见
  7. asp.net 提取html div,asp.net – 将div固定在html中的某一点
  8. rust代练吧_代练也配名正言顺?电竞协会被狂喷,只因颁发游戏代练师证书!...
  9. java常识(小细节)
  10. Java 冒泡排序的使用
  11. java中修改上传图片大小,springMVC MultipartFile 上传图片时修改图片大小
  12. filp/whoops
  13. 实验2 运算器的编程实现
  14. 阿里sentinel监控客户端配置
  15. 【Matlab学习手记】ELM分类
  16. 内网穿透 NPS 站点 并添加HTTPS
  17. 发展新机遇!内蒙古长山壕金矿迎来浙江广泰黄金考察团
  18. IOS企业签名的APP怎么做分发?
  19. 小米平板一直android,小米平板下架,号称最好用的安卓平板也退出了市场
  20. 【cocos2dx面试题干货】--2021年最新cocos2dx面试干货(引擎篇)

热门文章

  1. golang 1.18 新增泛型 简介
  2. golang if 条件判断语句 简介
  3. python3 乱序函数 shuffle 简介
  4. linux 判断网线是否插入
  5. metasploit 漏洞评级翻译
  6. linux 源码目录结构 文件系统目录结构
  7. linux c 字符串函数 replace indexOf substring 实现
  8. shell 获取字符串/文件的MD5值
  9. linux 内核头文件 linux kernel header
  10. Spy++的使用方法及下载