01 漏洞描述
Apache Log4j2是一款优秀的Java日志框架。近日,漏洞银行安全团队注意到了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经漏洞银行安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。漏洞银行提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。
02 漏洞评级
Apache Log4j 远程代码执行漏洞 严重
| 漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用 |
| 公开 | 公开 | 公开 | 存在 |
03 影响版本
Apache Log4j 2.x
04 修复建议
1、目前官方已发布测试版本修复该漏洞,受影响用户可先将Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc1 版本,地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1(注:由于此版本非正式发行版,可能出现不稳定的情况,建议用户在备份数据后再进行升级。)
2、升级供应链中已知受影响的应用及组件:Apache Solr、Apache Flink、Apache Druid、srping-boot-strater-log4j2
05 参考资料
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
头条号入驻
谋乐网络科技-BUGBANK
漏洞银行是一个白帽提交漏洞,维护企业信息安全的平台。我们的口号是“公正衡量每一个漏洞的价值”,对入驻
4000520066 欢迎批评指正
Copyright © 1996-2019 SINA Corporation
All Rights Reserved 新浪公司 版权所有
All Rights Reserved 新浪公司 版权所有
