12月10日,Apache Log4j 的远程代码执行漏洞(CVE-2021-44228)引发了 Web 应用安全界的震动。Akamai 全球安全服务中心和本地的安全服务团队及时响应了这次安全事件,在很多硬件 WAF 厂家还忙于升级补丁和规则的时候,Akamai 的云端防护引擎已经为客户防御了安全攻击,给客户争取更多的时间去升级系统。
影响范围
作为一款开源的日志记录工具,Apache Log4j 已被包含在众多流行的框架中(包括但不限于 Apache Struts2、Apache Solr、Apache Druid、Apache Flink),这也使得该漏洞的影响力被近一步扩大。
据悉,从2.0到2.14.1版本的 Log4j 均会受此漏洞影响。
应对措施
建议受影响的 Akamai 客户立即升级 Log4j 至2.15.0或后续版本。
如因任何原因暂时无法升级,或担心在升级过程中遭受攻击,也可通过 Akamai 一系列WAF 产品自动更新的规则获得保护并缓解漏洞产生的影响。
在漏洞公开后的24小时内&#x