近日,用于Java语言所开发系统的开源日志框架Apache Log4j2曝出远程代码执行漏洞,如果用户输入的数据通过该工具被日志记录,攻击者可构造特殊的数据请求包利用漏洞在目标设备上远程执行恶意代码。有专业机构监测发现该漏洞已被攻击者利用,且漏洞细节已被公开。鉴于Apache Log4j2在业务系统中应用广泛,请各单位立即组织排查,有关系统是否使用了受漏洞影响的Apache Log4j2框架,及时采取防护措施,以免发生安全事件。
受漏洞影响的Apache Log4j2版本:
2.0 ≤Apache log4j2≤2.14.1
处置建议:
1.升级Apache Log4j2至最新安全版本:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
2.缓解措施:
(1)jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2)log4j2.formatMsgNoLookups=true
(3)系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true。
