Apache Log4j 2 是一款優(yōu)秀的開(kāi)源日志框架，近日我司監(jiān)測(cè)到?Log4j 官方公開(kāi)了一個(gè)遠(yuǎn)程命令執(zhí)行漏洞。由于線(xiàn)上 web 業(yè)務(wù)的任何數(shù)據(jù)都可能寫(xiě)入 log4j，甚至一些 pre-auth 的地方，比如注冊(cè)、登錄，實(shí)際攻擊入口取決于業(yè)務(wù)具體情況。綜合評(píng)估利用難度低，利用要求少，影響范圍較大，已存在在野利用，建議您盡快自行檢查修復(fù)。

版本影響

以下版本均受影響：

Apache Log4j 2.x <= 2.14.1

臨時(shí)方案

目前官方已公開(kāi)修復(fù)代碼，但尚未正式發(fā)布，可選擇以下方案緩解：

設(shè)置 log4j2.formatMsgNoLookups=True

禁止 log4j 所在服務(wù)器外連

產(chǎn)品支持

青藤已在第一時(shí)間進(jìn)行分析后支持檢測(cè)，點(diǎn)擊系統(tǒng)左邊欄「風(fēng)險(xiǎn)發(fā)現(xiàn)-漏洞檢測(cè)」，選擇該檢查項(xiàng)創(chuàng)建作業(yè)進(jìn)行檢測(cè)。

參考

https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/