騰訊安全剛剛給出了Log4j2核彈級漏洞線上修復方案！緊急修復

2月9日晚，Apache Log4j2反序列化遠程代碼執行漏洞細節已被公開，Apache Log4j-2中存在JNDI註入漏洞，當程序將用戶輸入的數據進行日誌記錄時，即可觸發此漏洞，成功利用此漏洞可以在目標服務器上執行任意代碼。

Apache Log4j2是壹個基於Java的日誌記錄工具。該工具重寫了Log4j框架，並且引入了大量豐富的特性。該日誌框架被大量用於業務系統開發，用來記錄日誌信息。大多數情況下，開發者可能會將用戶輸入導致的錯誤信息寫入日誌中。

因該組件使用極為廣泛，利用門檻很低，危害極大，騰訊安全專家建議所有用戶盡快升級到安全版本。

高危，該漏洞影響範圍極廣，利用門檻很低，危害極大。 CVSS評分：10（最高級）

Apache log4j2 >= 2.0,

Apache log4j2 2.15.0

綜合國內機構意見，目前針對Apache Log4j漏洞的主要應對方法如下：

1.Apache Log4j 官方已經發布了解決上述漏洞的安全更新，建議受影響的用戶盡快升級到安全版本：

安全版本 ：log4j-2.15.0-rc2

官方安全版本下載可以參考以下鏈接：

/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2.建議對 Apache Struts2/Apache Solr/Apache Flink/Apache Druid 等已知受影響的應用及組件進行升級

1.設置jvm參數 -Dlog4j2.formatMsgNoLookups=true。

2.設置log4j2.formatMsgNoLookups=True。

3.設置系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 為 true。

4.采用 rasp 對lookup的調用進行阻斷。

5.采用waf對請求流量中的${jndi進行攔截。

6.禁止不必要的業務訪問外網。

騰訊安全服務解決方案： /a/20211211A032S100

上篇: 玻璃鋼風管與鍍鋅管道的區別？ 下篇: 廣東省潮州市鳳凰山簡介