观天Apache Log4j2 是java的一个日志功能框架,2021-12-09开始爆出该漏洞信息,引起互联网的浪潮,网络安全工作人员更是:又是疯狂加班修洞,跟踪该漏洞最新的动态和发展趋势。
Apache Log4j2远程任意代码执行漏洞
编号CVE-2021-44228
影响极大,简单利用,执行命令权限也非常大。
短短一两天,根据网络空间测绘监测平台,漏洞爆出,已经在互联网被疯狂的进行搜索引擎查找。部分网站搜索引擎已经屏蔽 一些log4j的搜索引擎。
威胁大的是,该漏洞信息已经被公开,相关Poc,利用方式!
应急:暴露在互联网的资产相当危险,网络安全产品应该及时升级漏洞库或IPS入侵防御库,并咨询厂家,该防御规则的ID是多少,自行检查找规则库是否更新到了最新的Apache Log4j2远程任意代码执行漏洞 防御规则库。
影响范围:
log4j2.X至log4j 2.15.0-rc1
临时缓解方法:
在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true 系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 创建 "log4j2.component.properties" 文件,文件中增加配置 "log4j2.formatMsgNoLookups=true"
根本修复该漏洞方法:
升级到官方提供的 log4j-2.15.0-rc2 版本;log4j-2.16.0版本;log4j-2.17.0版本
2021-12-10
