当前位置:首页 > 主机头条 > 正文内容

Java 日志框架 Apache Log4j2 被发现存在严重的远程代码执行漏洞

admini3年前 (2021-12-10)主机头条2018

2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。


Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。


漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。


【广泛使用的日志框架Log4j2 存在远程代码执行漏洞,影响大量组件】

据腾讯云、阿里云等云厂商消息,‌Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方还没有正式发布安全公告及版本,漏洞被利用可导致服务器被入侵等危害。


据介绍,Apache Log4j 2是一个开源的日志记录组件,使用非常的广泛。在工程中以易用方便代替了 System.out 等打印语句,它是JAVA下最流行的日志输入工具。


这一漏洞是在使用 Log4j 2 在一定场景条件下处理恶意数据时,‌可能会造成注入类代码执行。


由于Log4j2 作为日志记录基础第三方库,‌被大量Java框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量通用应用及组件,例如 :Flink、Kafka、ElasticSearch、Redis等等等。。。


影响的版本有:Apache log4j2 >= 2.0, <= 2.14.1


目前,官方已暂未发布正式漏洞补丁及修复版本,‌请密切关注官方最新版本发布,并关注服务器的异常行为。用户可排查Java应用是否引入 log4j-api , log4j-core 两个jar包,如有使用可考虑使用如下官方临时补丁进行修复。


也可以通过使用禁止联网、设置参数等方式进行临时缓解。(阿里云)(腾讯云)


扫一扫左侧二维码,可手机查看。

如无特别说明,文章均为本站原创。转载请注明出处。

本文链接:http://nm263.com/202112/111.html

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。