全球知名开源日志组件Apache Log4j被曝存在严重高危险级别远程代码执行漏洞,攻击者可以利用该漏洞远程执行恶意代码。据阿里云通报,由Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

该漏洞于12月7日由游戏平台Minecraft用户在网上曝光,据称黑客可以通过操作日志消息(甚至在聊天信息中键入内容),并且还可以在Minecraft服务器端执行恶意代码。Apache log4j官方在7日当天便发布2.15.0-rc1版本以修复漏洞,随后,阿里云、斗象科技、绿盟科技、默安科技、奇安信等安全厂商发布危害通报。

目前受漏洞影响的主要是Apache Log4j 2.x <= log4j-2.15.0-rc1版本,当用户使用Apache Log4j2来处理日志时,漏洞会对用户输入的内容进行特殊处理,攻击者便可以在Apache Log4j2中构造特殊请求来触发远程代码执行。

如何判断是否受影响,开发者只需排查在Java应用中是否引入log4j-api, log4j-core两个jar文件,若存在,建议立即进行安全排查,采取防护措施。目前可能受影响的组件有:

Spring-Boot-strater-log4j2

Apache Solr

Apache Flink

Apache Druid

这意味着有大量的第三方应用程序也可能受到了感染与威胁。

如何修复:

尽快将Apache Log4j 2所有相关应用升级到最新的 log4j-2.15.0-rc2 版本,地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

如果无法尽快更新版本,可以通过以下方法紧急缓解:

a、修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
b、修改配置:log4j2.formatMsgNoLookups=True
c、系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

参考链接:

  • https://arstechnica.com/information-technology/2021/12/minecraft-and-other-apps-face-serious-threat-from-new-code-execution-bug/
  • https://help.aliyun.com/noticelist/articleid/1060971232.html

Flink等多组件受影响,Apache Log4j曝史诗级漏洞相关推荐

  1. Apache Log4j Server 反序列化漏洞(CVE-2017-5645)

    文章目录 一.漏洞介绍 1.1 漏洞介绍 1.2 影响版本 二.漏洞复现 三.防御措施 一.漏洞介绍 1.1 漏洞介绍   Apache的一个开源的日志记录库,通过使用Log4j语言接口,可以在C.C ...

  2. 史诗级漏洞爆发,Log4j 背后的开源人何去何从?

    近年来,开源热潮席卷全球,纵观全球信息产业,更是呈现"得开源者得生态,得开源者得天下"的态势.在此趋势下,众多互联网企业争相拥抱开源,"开源"一词被推上了前所未 ...

  3. Apache Log4j 漏洞持续爆雷,还能安心玩论坛吗?

    这一周,各家互联网公司的程序员朋友们,都快被一个叫 Apache Log4j的史诗级漏洞给搞疯了! 这个漏洞源于一个叫 Log4J2 的 Java 开源日志框架,它在用 Java 敲代码的码农群体里可 ...

  4. linux用户的vim命令无效,Linux SUDO Bug可让您以root用户身份运行命令,大多数命令不受影响...

    已发现Linux sudo命令中的漏洞,该漏洞可能允许非特权用户以root用户身份执行命令.幸运的是,此漏洞仅在非标准配置中有效,并且大多数Linux服务器不受影响. 在获得此漏洞之前,重要的是要掌握 ...

  5. 最新Linux内核本地DoS漏洞CVE-2017-8064 4.10.12之前版本均受影响 还有一个CVE-2017-7979...

    今天SecurityFocus刚刚更新的消息,Linux内核本地拒绝服务漏洞CVE-2017-8064,Linux kernel 4.10.12之前版本全部受影响.攻击者利用该漏洞可以实施本地拒绝服务 ...

  6. Apache日志记录组件Log4j出现反序列化漏洞 黑客可以执行任意代码 所有2.x版本均受影响...

    开源的东西用的人多了,自然漏洞就多.Apache用于日志记录的组件Log4j使用非常灵活,在相当多的开源项目中都有使用,此次漏洞影响所有Apache Log4j 2.*系列版本: Apache Log ...

  7. 突发!Log4j 爆“核弹级”漏洞,Flink、Kafka等至少十多个项目受影响

    欢迎关注方志朋的博客,回复"666"获面试宝典 作者 | 褚杏娟 这两天,你熬夜应急了吗? 昨晚,对很多程序员来说可能是一个不眠之夜.12 月 10 日凌晨,Apache 开源项目 ...

  8. 突发!Log4j 爆“核弹级”漏洞,Flink 等项目受影响,提供 Flink 解决方法,赶紧修!...

    昨天,你应急了吗? 昨晚,对很多程序员来说可能是一个不眠之夜.12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者 ...

  9. 紧急:Spring框架被爆出存在0day级别远程命令执行漏洞。漏洞危害程度不亚于log4j漏洞根据目前掌握的信息,JDK版本在9及以上的Spring框架均受影响。该漏洞目前无官方修复补丁

    Spring框架被爆出存在0day级别远程命令执行漏洞.漏洞危害程度不亚于log4j漏洞根据目前掌握的信息,JDK版本在9及以上的Spring框架均受影响. 漏洞信息和漏洞影响排查方法如下: 漏洞名称 ...

最新文章

  1. mysql数据库帐户_MySQL数据库用户帐号管理基础知识详解
  2. 多线程:一个线程在运行时发生异常会怎么样?
  3. jpa 手动预编译_编译时检查JPA查询
  4. 前端学习(2635):vs 需要插件下载
  5. C4.5决策树算法概念学习
  6. strcpy和strcat
  7. C#中常用的分页存储过程
  8. python 字符编码、格式化
  9. 银联支付退款 php,PHP 银联支付
  10. 色彩的搭配,象征,以及web标准色
  11. 上海立信会计师事务所专场 — 纯前端表格技术应用研讨会
  12. java.sql.SQLException: Cannot create com.liqi.entry.User: com.li.entry.User Query: SELECT * from u
  13. 流量主头像组合微信小程序源码下载支持多种分类并支持姓氏头像制作生成
  14. perf 性能分析实例——使用perf优化cache利用率
  15. el-table行合并,单列行合并或者指定列合并行
  16. w ndows10QQ远程,win10系统QQ远程协助无法操作对方电脑的解决办法
  17. html写出带有表格标题的三行三列表格
  18. 中国互联网20周年谈GITC 2014
  19. Nodejs base64编码与解码
  20. 谈谈学习 - 费曼技巧,以教促学的好方法

热门文章

  1. e控智慧管家免责声明
  2. React入门学习小案例之番茄计时器与温度控制 App
  3. 心疼!内蒙古一4岁男孩在幼儿园被老师打,园方不承认施暴
  4. 系统运维 | Ubuntu 下安装配置 samba 服务的详细过程
  5. 苹果手机数据线充不了电_苹果手机充不进去电怎么办?终于找到原因了!
  6. 云计算,大数据资源推广
  7. 桌面支持--针式打印机端口选择
  8. Java根据生日计算年龄
  9. 基于armv8的kvm实现分析(三)kvm初始化流程
  10. 点云中提取平面方法总结