PHP小丑 发表于 2021-12-15 18:08:48

知名Java日志组件Log4j2爆出严重0 day漏洞,连我们客户都来问中招了没


今天早上醒来,知名的Java日志组件Apache Log4j2就刷爆了圈子。它被发现了一个 0 Day 漏洞,该Log4J2 漏洞可以让黑客通过日志记录远程执行代码(Remote Code Execution)。由于这个日志库被普遍使用,而这个漏洞又非常容易使用,所以造成的风险也非常严重,让人不得不提高防范。就连不懂代码的客户都来问系统是否存在这个问题。

受影响的版本
受本次漏洞影响的版本范围为Apache log4j2 2.0 - 2.14.1。

安全版本
正式补丁版本2.15.0已发布,请立即升级。
<dependencies><dependency>    <groupId>org.apache.logging.log4j</groupId>    <artifactId>log4j-api</artifactId>    <version>2.15.0</version></dependency><dependency>    <groupId>org.apache.logging.log4j</groupId>    <artifactId>log4j-core</artifactId>    <version>2.15.0</version></dependency></dependencies>

临时补救措施
不是所有的应用和使用者都能及时升级到安全版本。目前也有临时的补救措施。

[*]

[*]

[*]修改JVM参数,设置 ​​-Dlog4j2.formatMsgNoLookups=true​​。
[*]在涉及漏洞的项目的类路径(classpath)下增加​​log4j2.component.properties​​配置文件并增加配置项​​log4j2.formatMsgNoLookups=true​​。

[*]




不要小看这个漏洞
因为​​log4j​​的使用范围太广了,很多应用都中招了。
连Minecraft 游戏的PaperMC服务器都未能幸免。所以赶紧排查打补丁吧。



https://blog.51cto.com/u_14558366/4802523
页: [1]
查看完整版本: 知名Java日志组件Log4j2爆出严重0 day漏洞,连我们客户都来问中招了没