首页
> 
规则描述
> 
修改描述
【页面双击滚屏】
作者:闲云野鸡
id
sid
标题
BUGTRAQ ID
CVE ID
应用类型
漏洞描述
Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。
攻击范围
影响范围:Apache Log4j 2.x<=2.14.1
解决方法
目前,Apache官方已发布新版本完成漏洞修复,建议及时升级至最新版本: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2 建议同时采用如下临时措施进行漏洞防范: 1.添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true 2.在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true; 3.JDK使用11.0.1、8u191、7u201、6u211及以上的高版本; 4.部署使用第三方防火墙产品进行安全防护。
其它资料
请访问[jiwo.org]寻求解决方案。
备注