高危漏洞!Apache Log4j 远程代码执行漏洞(附修复建议)
2021-12-10 15:13:12 Author: www.freebuf.com(查看原文) 阅读量:63 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近日,赤豹安全实验室监测到 Log4j 官方公开了一个远程命令执行漏洞,利用已公开所有java开发系统中的调用log4j的都有可能受到影响。该漏洞影响范围广,利用难度低,请相关用户及时修复并加以防范 ,防止漏洞攻击发生。

漏洞介绍

Apache Log4j 2 是一款基于Java的优秀开源日志框架,被大量用于业务系统开发,用来记录日志信息。由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

影响版本

Apache Log4j 2.x <= 2.14.1

漏洞级别

严重 ★★★★

用户只要排查Java应用是否引入log4j-api , log4j-core 两个jar。若存在极可能会受到影响。

修补建议

该漏洞影响范围广,利用难度低,赤豹安全实验室建议相关用户及时修复并加以防范 ,防止漏洞攻击发生。

1、升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc1 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

2、升级已知受影响的应用及组件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid


文章来源: https://www.freebuf.com/news/308212.html
如有侵权请联系:admin#unsafe.sh