网络安全

当前位置: 首页 > 网络安全 > 正文

关于开源日志框架Apache Log4j2远程代码执行漏洞风险的补充提示

发布时间:2021年12月13日 09:59 点击次数:[]

   12月10日,平台发布了关于开源日志框架Apache Log4j2远程代码执行漏洞的风险提示(风险提示编号:RISK-202112100024),提供的安全版本是Log4j 2.15.0-rc1。验证发现,Log4j 2.15.0-rc1版本存在漏洞绕过问题,请及时更新至Log4j 2.15.0-rc2版本以修复漏洞。请各单位立即组织排查,有关系统是否使用了受漏洞影响的Apache Log4j2组件,及时采取防护措施,以免发生安全事件。

受漏洞影响的Apache Log4j2版本:

2.0 ≤Apache log4j2≤2.15.0-rc1

处置建议:

1.升级Apache Log4j2至最新安全版本:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2.缓解措施:

(1)jvm参数 -Dlog4j2.formatMsgNoLookups=true

(2)log4j2.formatMsgNoLookups=True

(3)系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true