高危预警 || 海云安发布Apache Log4j2漏洞处置方案
2021年12月10日,国家信息安全漏洞共享平台收录了Apache Log4j2远程代码执行漏洞。攻击者利用该漏洞,可在未授权的情况下远程执行代码。
Apache Log4j2是一款Java开源日志组件,该工具重写了Log4j框架,该日志框架被大量用于业务系统开发,用来记录日志信息。多数情况之下,开发者可能会将用户输入导致的错误信息写入日志中。此漏洞的严重性、影响面,堪称史上之最。攻击者可以利用漏洞远程执行代码,最终获得服务器的最高权限。
受影响版本
Apache Log4j 2.x < 2.15.0-rc2 已知受影响应用及组件 srping-boot-strater-log4j2 Apache Struts2 Apache Solr Apache Flink Apache Druid ElasticSearch Flume Dubbo Jedis Logstash Kafka 漏洞排查 若程序使用Maven打包,查看项目的pom.xml文件中是否存在下图所示的相关字段,若版本号为小于2.15.0,则存在该漏洞。
若程序使用gradle打包,可查看build.gradle编译配置文件,若在dependencies部分存在org.apache.logging.log4j相关字段,且版本号为小于2.15.0,则存在该漏洞。
漏洞防护升级版本
目前官方已发布测试版本修复该漏洞,受影响用户可先将Apache Log4j2所有相关应用到该版本,下载链接:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2 海云安建议应急措施 1.在jvm参数中添加-Dlog4j2.formatMsgNoLookups=true 2.系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 3. 创建“log4j2.component.properties”文件,文件中增加配置“log4j2.formatMsgNoLookups=true”
海云安Secidea
28篇文章TA的动态
2022-08-31 海云安Secidea发布了 《海云安个人隐私信息安全影响评估系统入个人信息保护创新实践案例》的文章
2022-08-01 海云安Secidea发布了 《银保监会发布《关于进一步促进信用卡业务规范健康发展的通知》》的文章
2022-07-27 海云安Secidea发布了 《如何开展数据安全及个人信息保护评估 ——从滴滴事件谈起》的文章
2022-07-15 海云安Secidea发布了 《海云安入围《2022网络安全产业图谱》九大细分领域》的文章
创头条是创兴动力旗下的创新创业资讯和企服产品,国家高新技术企业。平台汇聚百万级企业用户,基于企业号、双创地图、政策通、融资报、活动工具、企服市场等产品,提供资讯、数据、线上对接等企业服务,并以路演、产业大赛、峰会、培训、产业对接等方式提供线下赋能服务。
Tel:18514777506
关注微信公众号
创头条企服版APP