北京天融信科技有限公司
01
背景介紹
近日,網(wǎng)絡(luò)上出現(xiàn) Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞構(gòu)造特殊的數(shù)據(jù)請(qǐng)求包,最終觸發(fā)遠(yuǎn)程代碼執(zhí)行。 02 漏洞描述 經(jīng)驗(yàn)證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響,漏洞利用無(wú)需特殊配置。 受影響版本: Apache Log4j 2.x < 2.15.0-rc2 03 修復(fù)建議 1、建議受影響用戶盡快升級(jí)到安全版本應(yīng)盡快升級(jí)Apache Log4j-2 至2.15.0-rc2版。 安全版本下載可以參考以下鏈接: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2 2、建議對(duì) Apache Struts2/Apache Solr/Apache Flink/Apache Druid 等已知受影響的應(yīng)用及組件進(jìn)行升級(jí)。 3、臨時(shí)性緩解措施(任選一種) 創(chuàng)建“ponent.properties"文件,文件中增加配置“l(fā)og4j2.formatMsgNoLookups=true"。