Log4j爆核弹级漏洞,公司炸锅了...
编辑:乐乐 | 来自:
上一篇:再见,Teamviewer!这款国产轻量级远程桌面软件超牛逼!
大家好,我是Python人工智能技术
昨晚一直到现在技术圈可谓是炸锅了,所有人都在关注着一个漏洞:Apache Log4j 2 远程代码执行。该漏洞一旦被攻击者利用会造成严重危害。
图片来自 Pexels
由于该组件广泛应用在各个 Java 程序中,影响范围极大,排查难度大,危害性很高,很多互联网公司的程序员们熬夜加班急修复。
漏洞简介
Apache Log4j 2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。
由于 Apache Log4j 2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
漏洞危害
漏洞利用无需特殊配置,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
影响范围
Apache Log4j 2.x <= 2.14.1
修复措施
建议排查 Java 应用是否引入 log4j-api , log4j-core 两个 jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护。另外搜索公众号Linux中文社区后台回复“私房菜”,获取一份惊喜礼包。
①升级 Apache Log4j 2 所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址如下:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
②升级已知受影响的应用及组件,如:
spring-boot-strater-log4j2
Apache Solr
Apache Flink
Apache Druid
......
紧急缓解措施
如果还来不及更新版本修复,可通过下面的方法紧急缓解问题:
①修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
②修改配置:log4j2.formatMsgNoLookups=True
③将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
你还有什么想要补充的吗?免责声明:本文内容来源于网络,文章版权归原作者所有,意在传播相关技术知识&行业趋势,供大家学习交流,若涉及作品版权问题,请联系删除或授权事宜。
技术君个人微信
添加技术君个人微信即送一份惊喜大礼包
→ 技术资料共享
→ 技术交流社群
--END--
往日热文:
2021 年最佳开源软件榜单,Python 高性能框架 FastAPI 上榜了!
如何防止果照外泄?自己先上传就OK!扎克伯格这波操作给网友整不会了
Python程序员深度学习的“四大名著”:
这四本书着实很不错!我们都知道现在机器学习、深度学习的资料太多了,面对海量资源,往往陷入到“无从下手”的困惑出境。而且并非所有的书籍都是优质资源,浪费大量的时间是得不偿失的。给大家推荐这几本好书并做简单介绍。
获得方式: