《Apache Log4j2 远程代码执行漏洞预警.docx》由会员分享,可在线阅读,更多相关《Apache Log4j2 远程代码执行漏洞预警.docx(2页珍藏版)》请在优知文库上搜索。
1、ApacheLog4j2远程代码执行漏洞预警一、事件描述近期发现,APaCheLog4j2存在一处远程代码执行漏洞,在引入APaCh6Log4j2处理日志时,会对用户输入的内容进行一些特殊的处理,攻击者可以构造特殊的请求,触发远程代码执行。该漏洞威胁级别被定义为【严重】,影响面广泛且POC已公开,风险很高。二、影响范围1、ApacheLog4j2.X=2.14.12、已知受影响的应用及组件:srping-boot-strater-log4j2ApacheSolr/ApacheFlinkpacheDruid三、安全建议1、紧急缓解措施(1)修改jvm参数-DIog4j2.formatMsgNoL
2、ookups=true;(2)修改配置Iog4j2.fOrmatMsgNoLookups=True;(3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为trueo2、检测方案(1)由于攻击者在攻击过程中可能使用DNSLog进行漏洞探测,建议可以通过流量监测设备监控是否有相关DNSLog域名的请求;(2)建议可以通过监测相关流量或者日志中是否存“jndi:Idap:”、“jndi:rmi”等字符来发现可能的攻击行为。3、修复方案目前官方已发布修复版本修复了该漏洞,请受影响的用户尽快升级ApacheLog4j2所有相关应用到最新的log4j-2.15.0-rcl版本。