• 专业的加密软件开发及服务商--科兰美轩欢迎您!
    咨询热线:400-873-1393 (20线)     官方微信  |  收藏网站  |  联系我们
    Apache Log4j2 代码执行漏洞的影响范围及安全建议 加密软件 > 行业资讯
    新闻来源:科兰美轩加密软件转摘自网络   发布时间:2021年12月11日   此新闻已被浏览 115

    log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。

    一、Apache Log4j2 代码执行漏洞影响范围:

    用户认证:不需要用户认证

    触发方式:远程

    配置方式:默认

    利用条件:需要外网访问权限

    影响版本:2.0 ≤ Apache Log4j2 < 2.15.0-rc2

    利用难度:极低,无需授权即可远程代码执行

    威胁等级:严重,能造成远程代码执行

    综合评估漏洞利用难度极低,利用要求较少,影响范围很大,危害极其严重,且已经被黑客公开利用持续全网扫描,根据部里要求,需要紧急修复。


          二、Apache Log4j2 代码执行漏洞安全建议:

    1. 配置网络防火墙,禁止 log4j2 组件所在服务器主动外连网络,包含不限于DNS、TCP/IP、ICMP。

    2. 紧急加固缓解措施:

    ① 修改JVM启动参数:

    -Dlog4j2.formatMsgNoLookups=true。

    ② 在应用classpath下添加

    log4j2.component.properties配置文件:

    log4j2.formatMsgNoLookups=True。

    ③ 系统环境变量:

    FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true。

    3. 排查应用是否引入了Apache Log4j2 Jar包,若存在依赖引入,则可能存在漏洞影响。尽快升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc2 版本:

    https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

    可能存在后期漏洞被绕过风险,以最新版本为准。

    4. JDK使用11.0.1、8u191、7u201、6u211及以上的高版本。

    5. 升级已知受影响的应用及组件,如

    spring-boot-starter-log4j2、Apache Struts2、Apache Solr、Apache Druid、Apache Flink。


    ·上一条:Apache Log4j2 代码执行漏洞事件起因 | ·下一条:工业和信息化部关于印发“十四五”软件和信息技术服务业发展规划的通知

    溧阳兑仍娱乐有限公司 转子泵有限公司| 济宁硕通工矿设备有限公司| 食品包装北京有限公司| 广州安泰物流有限公司| 无锡合思环境技术有限公司| http://www.crimsondragongames.com http://www.nomiecognomi.com