真是平地一声雷，一个超高级别的bug把所有厂商都炸醒了。本来是可以划水半天的大周五，程序员们都得起来升版本发布代码修复这个问题了。具体漏洞的危害和原理，其他的回答里已经写的够详细了，我就整理一下各个大厂的解决方案，给大家一个参考吧。

腾讯

官方漏洞描述

漏洞编号：暂无
漏洞等级：高后_ 该漏洞影响范围极广，危害极大
CVSS 评分：10（最高级）
受影响版本：Apache log4j2 2.0 - 2.14.1
安全版本：Apache log4j-2.15.0-rc2 （2.15.0-rc1 版，经腾讯安全专家验证可以被绕过）

漏洞描述：该漏洞只需要外部用户输入的恶意代码被日志记录，即可触发代码执行，该漏洞使用者能在目标设备上远程执行任意恶意代码。

修复建议

官方补丁

升级 Apache Log4j 所有相关应用到最新的 Log4j-2.15.0-rc1 版本。
补丁地址：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

缓解措施：

jvm 参数 -Dlog4j2.formatMsgNoLookups=true
log4j2.formatMsg Nolookups=True

点评：升级补丁肯定是根除的方法，不过也提供了暂时缓解措施。

美团

一、漏洞描述

log4j2是日志框架Log4j的升级，在公司内被广泛使用，经信息安全中心监测，log4j2存在rce漏洞。

二、漏洞原理

Log4j2 中的某标签的属性中未对name中协议限制，导致攻击者可构造恶意标签，实现命令执行。

如果Log4j2需要打印的消息中有外部攻击者可控的变量，或打印来自上游不可控的数据，攻击者可构造恶意标签，在业务服务器上执行恶意命令，导致代码、密码等敏感文件泄露，公司服务器被入侵，作为跳板机向IDC其他机器横向攻击。利用门槛低，危害极大。目前安全组已复现该漏洞。

三、修复方式、自查方法

修复原理

org.apache.logging.log4j:log4j-core 在 2.10.0 以上增加了不启用 lookup 的配置项，但是默认关闭，官方暂无提供默认开启的正式版本。

美团日志框架（xmd-log4j2）封装了log4j2，在1.4.1将开关默认打开，防御上面的攻击场景。

美团内大部分业务使用xmd-log4j2，xmd-log4j2会引入log4j2，故使用com.meituan.inf:xmd-log4j2引入的org.apache.logging.log4j:log4j-core，需升级com.meituan.inf:xmd-log4j2到最新版本（1.4.1）完成修复。注：切勿使用xmd-log4j2 2.0.0-Snapshot包，这不是修复包。

通过maven配置更新xmd-log4j2，使用最新版本（1.4.1），或使用 inf-bom 1.4.14.1。

点评：美团安全组还复现了一下漏洞，给团子点个赞。美团因为全部业务都接入了美团日志框架（xmd-log4j2），所以直接升级公司的统一框架即可解决该漏洞，可以说是非常人性化了。目前公司要求互联网应用及对公网提供服务的应用最迟须在24小时内完成修复，所以，美团的发布系统PLUS已经挂了……

阿里

使用了rasp，加了拦截策略。原理算是字节码增强，通过配置的规则，检测到了攻击就进行上报，或者直接抛出异常。这算是个防御手段，按照阿里人的说法，目前是止血。

点评：阿里并没有像其他公司那样要求全公司升级log4j的版本，这一点感觉有些奇怪。不过偷偷摸摸的就把问题都拦截住了，也没有折腾大家去发版升级，也算是技术强悍的体现了。后续操作持续关注中……

字节

安全措施

安全部门将对公司全部 Java 服务进行组件扫描与升级，禁止低版本 Log4j 组件在线上运行。

同时，我们也将开启针对低版本、高风险组件（Log4j2 和 FastJSON）的安全卡点。

升级措施

请所有正在线上运行的Java服务相关研发同学自查：

服务是否使用 Log4j 2.x.x 版本（包括直接、间接依赖；1.x 版本不受影响）
服务是否使用 FastJSON < 1.2.69 版本（1.2.69 是目前允许的最低安全版本）

如不清楚服务具体依赖的组件信息，请通过此表格查询依赖关系（控制可见范围，需单独申请权限）

本次修复仅针对 Java 服务端，使用 Java 的 Android 客户端同学不受影响

若服务在上述范围内，无论对内/对外服务，请同学立刻将服务依赖升级到以下安全版本：

log4j 2.15.0：https://logging.apache.org/log4j/2.x/download.html

FastJSON 1.2.76： https://github.com/alibaba/fastjson/releases

点评：通过扫描Java代码仓库来排查没有升级的项目，也算是地毯式搜索了。并且禁止禁止低版本 Log4j 组件，连带着经常出问题的FastJSON也一并加入安全卡点并进行升级，也算是未雨绸缪了。

其他互联网大厂应对措施正在跟进中……

log4j2漏洞各大厂应对措施相关推荐

关于 CVE-2021-44228 Log4j2 漏洞的相关应对汇总说明（包含中英文客户公告）
微软产品团队和安全团队正在积极的调查本次事件,以下是截止到目前的最新信息: 在微软产品方面,目前尚未发现有产品受到本次漏洞的影响,包括(Azure Application Gateway, Azure ...
路由器、交换机及防火墙漏洞分析及应对措施
[TechTarget中国原创] 远程连接到网络资源已经成为现代企业很多员工的工作需要.无论这种连接是通过VPN.远程桌面还是安全壳(SSH)进行的,这种连接将不可避免地穿过装载着路由器.交换机和防火 ...
Log4j2漏洞发展历程及解决方案
背景最近互联网技术圈最火的一件事莫过于Log4j2的漏洞了.同时也涌现出了各类分析文章,关于漏洞的版本.漏洞的原因.漏洞的修复.程序员因此加班等等. 经常看我文章的朋友都知道,面对这样热门有意思的技 ...
阿里云被工信部暂停合作，惹事的Log4j2漏洞该如何解决？
近日,一众开发和维护人员正马不停蹄地开始修补 Log4j2 漏洞,但要真正修复完毕,还有很多工作要做. 最近几天,各家互联网大厂的程序员朋友们,都快被 Log4j2 漏洞折磨疯了,纷纷启动自家软件的漏 ...
带你掌握二进制SCA检测工具的短板及应对措施
摘要:本文针对二进制SCA检测技术短板所面临的一些特殊场景.检测影响及应对措施进行详细分析和说明,希望对使用二进制SCA检测工具的测试和研发人员有所帮助. 本文分享自华为云社区<二进制SCA检测 ...
恶意软件的历史和应对措施
美国前赛博安全主管Richard Clarke曾说:"如果你在咖啡上的开销比IT安全方面还要多,你将受到黑客的攻击,而且是咎由自取."本文讲述恶意软件的历史和应对的基本措施,希望能 ...
再严重的 Log4j2 漏洞也伤害不了 Java
点击上方"程序猿技术大咖",关注并选择"设为星标" 回复"加群"获取入群讨论资格! 作者丨Erik Costlow 译者丨核子可乐李冬梅来 ...
一问三不知之log4j2漏洞简析
1.log4j2漏洞介绍 1.1简介 Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,同时修复了Logback架构 ...
无线网络常见安全风险及应对措施
目录无线网络面临的安全风险主要风险及应对措施问题一:容易发现无线局域网问题二:非法的AP 问题三:经授权使用服务问题四:服务和性能的限制问题五:地址欺骗和会话拦截问题六:流量分析与流量侦 ...

log4j2漏洞各大厂应对措施

腾讯