嗨,我的名字是乔戈里。今天一大早,看到群里有个小伙伴在讲Log4j2的远程代码执行漏洞。在这里提醒一下,以防有小伙伴没看到。
这次 Apache 又要承担责任了。这个漏洞的范围太广了(大部分公司都会受到影响),又是一个可以载入史册的漏洞。
漏洞描述
Apache Log4j2 是一个优秀的 Java 日志框架。2021年11月24日,阿里云安全团队正式向Apache上报了Apache Log4j2远程代码执行漏洞。由于 Apache Log4j2 的部分功能具有递归解析能力java控制面板中没有安全级别,攻击者可以直接构造恶意请求来触发远程代码执行漏洞。
由于 Log4j2 被用作日志的基本第三方库,因此被大量 Java 框架和应用程序使用。只要使用Log4j2进行日志输出,并且日志内容可以被攻击者部分控制,就有可能受到漏洞攻击的影响。因此,该漏洞也影响了全球大量常见的应用程序和组件,例如:
建议及时检查和升级所有使用Log4j组件的系统或应用程序。
漏洞评级
Apache Log4j 远程代码执行漏洞,严重!
金山毒霸直接将漏洞级别设置为最高级别。
影响版本
经验证2.15.0-rc1版本有旁路,实际影响范围如下:
Apache Log4j 2.x
安全建议
1、查看应用是否引入了Apache log4j-core Jar包。如果引入了依赖项并且在受影响的版本范围内,则可能存在漏洞影响。请尽快将所有Apache Log4j2相关应用升级到最新的log4j-2.15.0-rc2版本,地址
2、升级已知受影响的应用和组件java控制面板中没有安全级别,例如spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
3、jdk版本可以升级到6u211/7u201/8u191/11.0.1以上,可以在一定程度上限制JNDI等漏洞的利用。
1、
2、
···· 结尾 ·······
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 提示下载完但解压或打开不了?
- 找不到素材资源介绍文章里的示例图片?
- 欧资源网
