查看原文
其他

腾讯安全刚刚给出了Log4j2核弹级漏洞线上修复方案!紧急修复!急急急!!!

点击上方蓝色字体,选择“标星公众号

优质文章,第一时间送达


关注公众号后台回复paymall获取实战项目资料视频

一、漏洞描述

2月9日晚,Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。

因该组件使用极为广泛,利用门槛很低,危害极大,腾讯安全专家建议所有用户尽快升级到安全版本。

二、漏洞风险

高危,该漏洞影响范围极广,利用门槛很低,危害极大。CVSS评分:10(最高级)

三、漏洞影响版本

Apache log4j2 >= 2.0,

四、安全版本

Apache log4j2 2.15.0

五、修复方案建议

综合国内机构意见,目前针对Apache Log4j漏洞的主要应对方法如下:

1.Apache Log4j 官方已经发布了解决上述漏洞的安全更新,建议受影响用户尽快升级到安全版本:

安全版本:log4j-2.15.0-rc2

官方安全版本下载可以参考以下链接:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2.建议对 Apache Struts2/Apache Solr/Apache Flink/Apache Druid 等已知受影响的应用及组件进行升级

六、临时缓解措施

1.设置jvm参数 -Dlog4j2.formatMsgNoLookups=true。

2.设置log4j2.formatMsgNoLookups=True。

3.设置系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 为 true。

4.采用 rasp 对lookup的调用进行阻断。

5.采用waf对请求流量中的${jndi进行拦截。

6.禁止不必要的业务访问外网。

七、腾讯云线上修复措施

腾讯云安全服务详细解决方案:

https://view.inews.qq.com/a/20211211A032S100

往期推荐

公司Java项目被反编译放到了网上,这4个方法可预防jar 被反编译!

同事把实数作为 HashMap 的key,领导发飙了...

推荐一款神仙颜值的 Redis 客户端工具

重磅:JetBrains 推出“下一代 IDE”,据说比IntelliJ IDEA 还牛逼!!

Intellij IDEA 高效使用教程来了,杠杠的...

利用注解 + 反射消除重复代码,妙!这回开眼界了...


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存