12 月 10 日凌晨，Apache 開源項目 Log4j2 的遠程代碼執(zhí)行漏洞細節(jié)被公開，漏洞威脅等級為：嚴重。

Log4j2 是一個基于 Java 的日志記錄工具。它重寫了 Log4j 框架，引入了大量豐富特性，讓用戶可以控制日志信息輸送的目的地為控制臺、文件、GUI 組件等。同時通過定義每一條日志信息的級別，讓使用者能夠更加細致地控制日志的生成過程。

Log4j 是目前全球使用最廣泛的 java 日志框架之一。該漏洞還影響著很多全球使用量前列的開源組件，如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等。因為該漏洞利用方式簡單，一旦有攻擊者利用該漏洞，就可以在目標服務器上執(zhí)行任意代碼，給被攻擊者造成極大危害。

漏洞細節(jié)

此次漏洞主要是 Log4j2 內(nèi)含的 lookup 功能存在 JNDI 注入漏洞，該功能可以幫助開發(fā)者通過一些協(xié)議讀取相應環(huán)境中的配置。漏洞觸發(fā)方式非常簡單，只要日志內(nèi)容中包含關(guān)鍵詞 ${，那么這里面包含的內(nèi)容就可以作為變量進行替換，攻擊者無需任何權(quán)限，可以執(zhí)行任意命令。

此次漏洞影響的版本為：Apache Log4j 2.x <= 2.14.1

同時如果您使用了以下應用，也會被此次漏洞影響：

• Spring-Boot-strater-log4j2

• Apache Struts2

• Apache Solr

• Apache Flink

• Apache Druid

• ElasticSearch

• flume

• dubbo

• logstash

• kafka

漏洞修復

目前廠商已經(jīng)發(fā)布了新版本 log4j-2.15.0-rc2，該版本已經(jīng)修復了漏洞。希望大家能夠盡快升級到新版本。

官方鏈接：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

如果您暫時不方便進行版本升級，您也可以通過以下方法進行應急處理，并在方便的時候盡快完成版本升級：

• 修改 jvm 參數(shù) -Dlog4j2.formatMsgNoLookups=true

• 修改配置 log4j2.formatMsgNoLookups=True

• 將系統(tǒng)環(huán)境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設(shè)置為 true

無論是前年 Apach Shiro 的 cookie 持久化參數(shù) rememberMe 加密算法存在漏洞，還是去年 5 月的 Fastjson 遠程代碼執(zhí)行漏洞通告。網(wǎng)絡安全似乎總是存在各種各樣的問題，但是發(fā)現(xiàn)漏洞并修復漏洞本身就是對安全進行的一次升級。停止不動的安全方式很快就會被攻破，只有持續(xù)不斷地更新與升級才是真正的網(wǎng)絡安全。

總結(jié)

以上是生活随笔為你收集整理的Log4j执行漏洞修复教程的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。