12月9日一直到現(xiàn)在技術圈可謂是炸鍋了，所有人都在關注著一個漏洞：Apache Log4j 2 遠程代碼執(zhí)行。該漏洞一旦被攻擊者利用會造成嚴重危害。

[[439976]]

圖片來自 Pexels

由于該組件廣泛應用在各個 Java 程序中，影響范圍極大，排查難度大，危害性很高，很多互聯(lián)網(wǎng)公司的程序員們熬夜加班急修復。

漏洞簡介

Apache Log4j 2 是一款優(yōu)秀的 Java 日志框架。該工具重寫了 Log4j 框架，并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務系統(tǒng)開發(fā)，用來記錄日志信息。

由于 Apache Log4j 2 某些功能存在遞歸解析功能，攻擊者可直接構造惡意請求，觸發(fā)遠程代碼執(zhí)行漏洞。

漏洞危害

漏洞利用無需特殊配置，攻擊者可直接構造惡意請求，觸發(fā)遠程代碼執(zhí)行漏洞。

影響范圍

Apache Log4j 2.x <= 2.14.1

修復措施

建議排查 Java 應用是否引入 log4j-api , log4j-core 兩個 jar，若存在使用，極大可能會受到影響，強烈建議受影響用戶盡快進行防護。

①升級 Apache Log4j 2 所有相關應用到最新的 log4j-2.15.0-rc2 版本，地址如下：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2 

②升級已知受影響的應用及組件，如：

• spring-boot-strater-log4j2
• Apache Solr
• Apache Flink
• Apache Druid
• ......

緊急緩解措施

如果還來不及更新版本修復，可通過下面的方法緊急緩解問題：

①修改jvm參數(shù) -Dlog4j2.formatMsgNoLookups=true

②修改配置：log4j2.formatMsgNoLookups=True

③將系統(tǒng)環(huán)境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為 true