影响范围
Log4j2.x <= 2.14.1 版本区间
紧急缓解措施
-
修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
-
修改配置log4j2.formatMsgNoLookups=True
-
将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
检测方案
-
由于攻击者在攻击过程中可能使用 DNSLog 进行漏洞探测,建议企业可以通过流量监测设备监控是否有相关 DNSLog 域名的请求,微步在线的 OneDNS 也已经识别主流 DNSLog 域名并支持拦截。
-
根据目前微步在线对于此类漏洞的研究积累,我们建议企业可以通过监测相关流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。
检查所有使用了 Log4j2 组件的系统,官方修复链接