近日, Apache Log4j2 远程代码执行漏洞细节被公开,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。经过分析确认,该漏洞影响范围极其广泛,已知受影响的应用及组件,包括但限于 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink等,危害极其严重。此次受影响版本为:Log4j版本2.x<=2.15.0-rc2。
该漏洞随时可能被勒索病毒、挖矿木马或非法组织利用,造成大面积严重危害,现将有关要求如下:
一、升级安全系统防护监测能力
立即对部署在各个网络节点的入侵防御、入侵检测、Web应用防护、网络流量分析、主机安全防护等安全系统进行特征库升级,保障安全系统具备对此漏洞的防护与监测。
二、主动排查处置隐患
通知相关应用承建单位排查本地应用是否引入了Apache Log4j2 Jar包,若存在依赖引入,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。
如暂不能修复的,需采用以下紧急缓解措施处理:
(1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2) 修改配置log4j2.formatMsgNoLookups=True
(3) 将系统环境变量
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
三、主动发现处置漏洞
对具备漏洞扫描单位,应尽快升级漏洞库,对该漏洞进行扫描发现,并通知相关承建单位进行修复处置。