午夜美女在线观看诱惑,99er精品在线播放,国产一线天粉嫩馒头极品av

首頁(yè) > 產(chǎn)品動(dòng)態(tài) 【漏洞預(yù)警】ApacheLog4j2遠(yuǎn)程代碼執(zhí)行漏洞

【漏洞預(yù)警】ApacheLog4j2遠(yuǎn)程代碼執(zhí)行漏洞

作者：景安網(wǎng)絡(luò)產(chǎn)品動(dòng)態(tài) 發(fā)布時(shí)間：2021-12-10瀏覽次數(shù)：14799

尊敬的用戶，您好！

由于 Apache Log4j 2 被披露出存在嚴(yán)重代碼執(zhí)行漏洞，目前官方還沒(méi)有正式發(fā)布安全公告及版本，漏洞被利用可導(dǎo)致服務(wù)器被入侵等危害。

為避免您的業(yè)務(wù)受影響，景安建議您及時(shí)開(kāi)展安全自查，如在受影響范圍，請(qǐng)您及時(shí)進(jìn)行更新修復(fù)，避免被外部攻擊者入侵。

漏洞詳情

Apache Log4j 2是一個(gè)開(kāi)源的日志記錄組件，使用非常的廣泛。在工程中以易用方便代替了 System.out 等打印語(yǔ)句，它是JAVA下最流行的日志輸入工具。由于其某些功能存在遞歸解析功能，攻擊者可直接構(gòu)造惡意請(qǐng)求，觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。漏洞利用無(wú)需特殊配置，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。

建議及時(shí)檢查并升級(jí)所有使用了 Log4j 組件的系統(tǒng)或應(yīng)用。

風(fēng)險(xiǎn)等級(jí)

高風(fēng)險(xiǎn)

漏洞風(fēng)險(xiǎn)

攻擊者利用該漏洞可導(dǎo)致任意代碼執(zhí)行

影響版本

Apache log4j2 >= 2.0, <= 2.14.1

安全版本

暫無(wú)

修復(fù)建議

官方已暫未發(fā)布正式漏洞補(bǔ)丁及修復(fù)版本，請(qǐng)密切關(guān)注官方最新版本發(fā)布，并關(guān)注服務(wù)器的異常行為。

用戶可排查Java應(yīng)用是否引入 log4j-api , log4j-core 兩個(gè)jar包，如有使用可考慮使用如下官方臨時(shí)補(bǔ)丁進(jìn)行修復(fù):
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

其他臨時(shí)緩解措施：
1. 禁止沒(méi)有必要的業(yè)務(wù)訪問(wèn)外網(wǎng)。
2. 設(shè)置jvm參數(shù) “-Dlog4j2.formatMsgNoLookups=true”
3. 設(shè)置“l(fā)og4j2.formatMsgNoLookups=True”
4. 系統(tǒng)環(huán)境變量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設(shè)置為“true”