原创

突发!Log4j 爆“史诗级”漏洞,Solr、Kafka等均受影响,尽快自查!

2014年,Log4j 2发布。Log4j 2是对Log4j的重大升级,完全重写了log4j的日志实现。Log4j 2提供了Logback中可用的许多改进,同时修复了Logback架构中的一些固有问题,目前已经更新到2.15.0版本。

1、漏洞简介

Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

2、漏洞危害

攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器。

3、漏洞编号

4、影响范围

Apache Log4j 2.x <= 2.14.1

5、修复措施

建议排查Java应用是否引入log4j-api、log4j-core两个jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护。

12月10日上午,阿里云安全团队再次发出预警,发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过,建议及时更新至Apache Log4j 2.15.0-rc2版本。

升级Apache Log4j 2所有相关应用到最新的log4j-2.15.0-rc2版本,地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

升级已知受影响的应用及组件,如:

spring-boot-strater-log4j2
Apache Solr
Apache Flink
Apache Druid
Apache Kafka
等

6、紧急缓解措施:

如果来不及更新版本修复,可通过下述方式紧急缓解问题

1)修改jvm参数 -Dlog4j2.formatMsgNoLookups=true     

2)修改配置:log4j2.formatMsgNoLookups=True

3)将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

7、Log4j官方修复方案

检查所有使用Log4j组件的系统,官方修复链接如下:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

~阅读全文-人机检测~

微信公众号“Java精选”(w_z90110),专注Java技术干货分享!让你从此路人变大神!回复关键词领取资料:如Mysql、Hadoop、Dubbo、Spring Boot等,免费领取视频教程、资料文档和项目源码。微信搜索小程序“Java精选面试题”,内涵3000+道Java面试题!

涵盖:互联网那些事、算法与数据结构、SpringMVC、Spring boot、Spring Cloud、ElasticSearch、Linux、Mysql、Oracle等

评论

分享:

支付宝

微信