Log4j2漏洞
Apache Log4j2 的远程代码执行漏洞细节被公开,经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重,我们建议第一时间启动应急响应进行修复。
设备是否受该漏洞影响,现提供自查工具方便进行漏洞资产排查
- Winnows 图形界面检测方式
- Linux 脚本检测方式
bash -c “$(curl -sS https://airy.cn/log4j2/log4j-local-check.sh)” or bash <(curl -Ls https://airy.cn/log4j2/log4j-local-check.sh)
3. Windows + Linux 命令行检测方式:
Download https://airy.cn/log4j2/log4j2_detect2.0.tgz
- CMD: log4j2_detect2.0.exe
- Linux: ./log4j2_detect2.0
应急修复方案:
1. 对于 2.10 以下版本,建议升级至最新版 log4j-2.15.0-rc2
2. 对于 2.10 及以上版本版本,有如下缓解措施:
A. 设置 jvm 参数 “-Dlog4j2.formatMsgNoLookups=true”
B. 在项目 classpath 目录下添加 log4j2.component.properties 配置文件,设置 log4j2.formatMsgNoLookups=true
C. 设置系统环境变量:“LOG4J_FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS” 设置为 “true”
漏洞版本:
log4j2.x && <2.16.0,其中2.15.0-rc2属于疑似漏洞版本,建议更新
修复建议:
更新存在漏洞的jar包,更新地址: