更多内容关注微信公众号:fullstack888
漏洞级别
严重
影响版本
Apache Log4j 2.x < 2.15.0-rc2
影响范围
spring-boot-starter-log4j2、Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响
漏洞描述
Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。此次漏洞是由阿里云安全团队向Apache官方报告的。
解决方案
目前最新的结论还是0day,官方发布的两个版本2.15.0-rc1和最新的2.15.0-rc2都被绕过,官方没有升级包可用。暂时可以通过如下三种解决方案解决该漏洞:
(1) 修改项目 jvm 参数:-Dlog4j2.formatMsgNoLookups=true
(2) 修改log4j2配置参数:log4j2.formatMsgNoLookups=True
(3)修改系统环境变量:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置 为 true
注:可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。<