今日推薦

這 9 個 Java 開源項目 yyds，你知道幾個？阿里技術專家推薦的20本書，免費送！K8S 部署 SpringBoot 項目（一篇夠用）妙用Java 8中的 Function接口 消滅if...else（非常新穎的寫法） Nginx 入門到實戰，新手必懂。

近日，網絡上出現 Apache Log4j2 遠程代碼執行漏洞。攻擊者可利用該漏洞構造特殊的數據請求包，最終觸發遠程代碼執行。由于該漏洞影響范圍極廣，建議廣大用戶及時排查相關漏洞，經過白帽匯安全研究院分析確認，目前市面有多款流行的系統都受影響。

log4j作為眾多軟件廣泛引入的類庫，漏洞影響范圍太大了，據說各大廠程序員半夜被叫起來加班加點修復。

漏洞描述

Apache Log4j2 是一個基于 Java 的日志記錄工具。該工具重寫了 Log4j 框架，并且引入了大量豐富的特性。該日志框架被大量用于業務系統開發，用來記錄日志信息。

在大多數情況下，開發者可能會將用戶輸入導致的錯誤信息寫入日志中。攻擊者利用此特性可通過該漏洞構造特殊的數據請求包，最終觸發遠程代碼執行。

該漏洞危害等級：嚴重

影響范圍

2.0 <= Apache log4j2 <= 2.14.1

影響判斷方式：用戶只需排查Java應用是否引入 log4j-api , log4j-core 兩個jar。若存在應用使用，極大可能會受到影響。

漏洞復現

Vulfocus 靶場環境

目前 Vulfocus 已經集成 Log4j2 環境，可通過以下鏈接啟動環境測試：

http://vulfocus.fofa.so/#/dashboard?image_id=3b8f15eb-7bd9-49b2-a69e-541f89c4216c

也可通過?docker pull vulfocus/log4j2-rce-2021-12-09:latest?拉取本地環境運行。

修復建議

1、排查應用是否引入了Apache Log4j2 Jar包，若存在依賴引入，則可能存在漏洞影響。請盡快升級Apache Log4j2所有相關應用到最新的 log4j-2.15.0-rc2 版本，地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、升級已知受影響的應用及組件，如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

快看看你們中招沒~~

參考

[1] https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

[2] [LOG4J2-3201] Limit the protocols jNDI can use and restrict LDAP. - ASF JIRA (apache.org)

[3] ASF Git Repos - logging-log4j2.git/blob - log4j-core/src/test/java/org/apache/logging/log4j/core/lookup/JndiRestrictedLookupTest.java

推薦文章1、一款高顏值的 SpringBoot+JPA 博客項目2、超優 Vue+Element+Spring 中后端解決方案3、推薦幾個支付項目！4、推薦一個 Java 企業信息化系統5、一款基于 Spring Boot 的現代化社區（論壇/問答/社交網絡/博客）

總結

以上是生活随笔為你收集整理的突发，Log4j2 爆出远程代码执行漏洞，各大厂纷纷中招！的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。