聲明：該文章來自（青藤實驗室）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

Apache Log4j 2 是一款優(yōu)秀的開源日志框架，近日我司監(jiān)測到?Log4j 官方公開了一個遠(yuǎn)程命令執(zhí)行漏洞。由于線上 web 業(yè)務(wù)的任何數(shù)據(jù)都可能寫入 log4j，甚至一些 pre-auth 的地方，比如注冊、登錄，實際攻擊入口取決于業(yè)務(wù)具體情況。綜合評估利用難度低，利用要求少，影響范圍較大，已存在在野利用，建議您盡快自行檢查修復(fù)。

版本影響

以下版本均受影響：

Apache Log4j 2.x <= 2.14.1

臨時方案

目前官方已公開修復(fù)代碼，但尚未正式發(fā)布，可選擇以下方案緩解：

設(shè)置 log4j2.formatMsgNoLookups=True

禁止 log4j 所在服務(wù)器外連

產(chǎn)品支持

青藤已在第一時間進(jìn)行分析后支持檢測，點擊系統(tǒng)左邊欄「風(fēng)險發(fā)現(xiàn)-漏洞檢測」，選擇該檢查項創(chuàng)建作業(yè)進(jìn)行檢測。

參考

https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/