[漏洞预警]CVE-2021-44228:Apache Log4j2存在任意代码执行漏洞

Apache Log4j2 存在任意代码执行漏洞

在这里插入图片描述
在这里插入图片描述
Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。所以本次出现的漏洞涉及范围极广。
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

漏洞编号:

CVE-2021-44228 CNVD-2021-95914

影响范围

Apache Log4j 2.x <= 2.15.0-rc1

解决方案

1、缓释方案:
log4j2.formatMsgNoLookups设置为True
添加 -Dlog4j2.formatMsgNoLookups=true
创建 “log4j2.component.properties” 文件,文件中增加配置 “log4j2.formatMsgNoLookups=true”
waf增加恶意字符临时拦截规则

2、检查pom.xml是否存在 log4j 版本 2.0<= 2.14.1
3、及时更新升级到官方发布的最新版本

漏洞描述

Apache Log4j2 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限。
在这里插入图片描述

  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT鹅

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值