Apache Log4j2高危漏洞解决方案(新)

Apache Log4j2高危漏洞解决方案(新),第1张

Apache Log4j2高危漏洞解决方案(新) 更多内容关注微信公众号:fullstack888

漏洞级别

严重

影响版本

Apache Log4j 2.x < 2.15.0-rc2

影响范围

spring-boot-starter-log4j2、Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响

漏洞描述

Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。此次漏洞是由阿里云安全团队向Apache官方报告的。

解决方案

目前最新的结论还是0day,官方发布的两个版本2.15.0-rc1和最新的2.15.0-rc2都被绕过,官方没有升级包可用。暂时可以通过如下三种解决方案解决该漏洞:

(1) 修改项目 jvm 参数:-Dlog4j2.formatMsgNoLookups=true

(2) 修改log4j2配置参数:log4j2.formatMsgNoLookups=True

(3)修改系统环境变量:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置 为 true

注:可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。

源码分析

详情查看:org.apache.logging.log4j.core.pattern.MessagePatternConverter

上述的3个解决方法都是保证在代码执行过程中,代码走如下路径。这样就能避免漏洞的危害。

0 day可能大家会比较陌生,大概意思是目前官方没有修复的版本发布。

最后,我们还是要等待官方修复,大家可以持续关注:
https://github.com/apache/logging-log4j2/tags

如果有新版本,可以让公司的安全团队重新评估后,再考虑是否升级。

- END -

往期回顾

◆作为技术负责人,如何从0搭建公司后端技术栈

◆vivo AI 计算平台 kubernetes 集群d性伸缩实践

◆MySQL 主键的重要度

◆如何画出一张优秀的架构图(老鸟必备)

◆阿里Oceanbase GitHub点赞送礼事件

◆石墨文档 Websocket 百万长连接技术实践

◆分布式事务框架Seata原理解析
◆三大运营商实现本机号码一键登录原理与应用

技术交流,请加微信: jiagou6688 ,备注:Java,拉你进架构群

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zaji/5661123.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-12-16
下一篇 2022-12-17

发表评论

登录后才能评论

评论列表(0条)

保存