漏洞名稱：Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞

組件名稱：Apache Log4j2
截止2021年12?10?，受影響的Apache log4j2版本：
2.0≤Apache Log4j<=2.15.0-rc1

漏洞類型：遠(yuǎn)程代碼執(zhí)行

綜合評(píng)價(jià)：

<利用難度>：容易，無(wú)需授權(quán)即可遠(yuǎn)程代碼執(zhí)行。
<威脅等級(jí)>：高危，能造成遠(yuǎn)程代碼執(zhí)行。

漏洞詳情

Apache Log4j2是一個(gè)基于Java的日志記錄工具。該工具重寫(xiě)了Log4j框架，并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開(kāi)發(fā)，用來(lái)記錄日志信息。
由于Apache Log4j2某些功能存在遞歸解析功能，攻擊者可直接構(gòu)造惡意請(qǐng)求，?需進(jìn)?特殊配置，即可觸發(fā)遠(yuǎn)程代碼執(zhí)?。

影響范圍

Apache Log4j2廣泛地應(yīng)用在中間件、開(kāi)發(fā)框架、Web應(yīng)用中。漏洞危害性高，涉及用戶量較大，導(dǎo)致漏洞影響力巨大。
截止2021年12?10日，受影響的Apache log4j2版本：
2.0 <= Apache log4j2 <= 2.15.0-rc1

受影響的Java框架：

【點(diǎn)擊獲取學(xué)習(xí)資料】

• 滲透工具
• 技術(shù)文檔、書(shū)籍 最新大廠面試題目及答案
• 視頻教程與配套學(xué)習(xí)課件資料
• 應(yīng)急響應(yīng)筆記
• 學(xué)習(xí)思路構(gòu)圖等等

修復(fù)建議

1、項(xiàng)目中直接使用Apache Log4j2
升級(jí)Apache Log4j2所有相關(guān)應(yīng)用到最新的log4j-2.15.0-rc2 版本，地址 ：
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

• Apache Maven 版本

修改pom.xml
[AppleScript] 純文本查看 復(fù)制代碼

<dependencies><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-api</artifactId><version>2.15.0-rc2</version></dependency><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>2.15.0-rc2</version></dependency> </dependencies>

• Gradle 版本

修改build.gradle
[AppleScript] 純文本查看 復(fù)制代碼
?

dependencies {compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.15.0-rc2'compile group: 'org.apache.logging.log4j', name: 'log4j-core', version: '2.15.0-rc2' }

2、框架?次加載 Apache Log4j2

截止目前，第三方框架中使?Apache Log4j2的，?如srping-boot、Apache Struts2等，暫未發(fā)布最新修復(fù)版本。

只能使用臨時(shí)方案進(jìn)行修復(fù)。

①在jvm啟動(dòng)參數(shù)中添加-Dlog4j2.formatMsgNoLookups=true

②系統(tǒng)環(huán)境變量中配置FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true

③項(xiàng)目中創(chuàng)建log4j2.component.properties文件文件中增加配置log4j2.formatMsgNoLookups=true

④部署第三方防火墻產(chǎn)品。

最后——私信回復(fù)“資料”可獲取相關(guān)學(xué)習(xí)資料

總結(jié)

以上是生活随笔為你收集整理的Apache Log4j2 RCE 命令执行漏洞预警及修复方案的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。