?背景

12 月 10 日凌晨，Apache 開源項目 Log4j 的遠程代碼執(zhí)行漏洞細節(jié)被公開，由于 Log4j 的廣泛使用，該漏洞一旦被攻擊者利用會造成嚴重危害。受本次漏洞影響的版本范圍為Apache Log4j 2.x < 2.15.0-rc2，攻擊者可以利用此漏洞在目標服務器上執(zhí)行任意代碼，通過JNDI來執(zhí)行LDAP協(xié)議來注入一些非法的可執(zhí)行代碼。

攻擊檢測

（1）可以通過檢查日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符來發(fā)現可能的攻擊行為。

（2）檢查日志中是否存在相關堆棧報錯，堆棧里是否有JndiLookup、ldapURLContext、getObjectFactoryFromReference等與 jndi 調用相關的堆棧信息。

官方修補建議

1、排查應用是否引入了 Apache log4j-core Jar 包，若存在依賴引入，且在受影響版本范圍內，則可能存在漏洞影響。請盡快升級 Apache Log4j2 所有相關應用到最新的 log4j-2.15.0-rc2 版本，地址https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、升級已知受影響的應用及組件，如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

3、可升級 jdk 版本至 6u211/ 7u201 / 8u191 / 11.0.1 以上，可以在一定 程度上限制 JNDI 等漏洞利用方式。

4、在無法升級版本時，通過修改 jvm 參數、系統(tǒng)環(huán)境變量等方式，可在一 定程度上緩解該風險，但無法完全修復，因此不建議通過修改參數的方式解決該風險。

• 修改JVM參數,設置-Dlog4j2.formatMsgNoLookups=true。
• 在涉及漏洞的項目的類路徑（classpath）下增加log4j2.component.properties配置文件并增加配置項log4j2.formatMsgNoLookups=true。

5、采用 rasp 對lookup的調用進行阻斷。

6、采用waf對請求流量中的${jndi進行攔截。

如何獲取編譯好的jar包

官網下載路徑:

https://dlcdn.apache.org/logging/log4j/2.15.0

百度網盤直接下載：

鏈接: https://pan.baidu.com/s/1wV6asxCPoEtloJVTJx0b5g 提取碼: kj8n?

替換過程

看下你的程序lib目錄下有沒有用到log4j-api.jar、log4j-core.jar這些包，主要是log4j-core.jar包（漏洞是這個包的代碼引起的），有的話，準備好新的包，停用程序，用log4j-api-2.15.0.jar、log4j-core-2.15.0.jar替換老的包，重啟程序。友情提醒：線上環(huán)境替換程序需謹慎，建議測試環(huán)境替換測試無誤后，再去操作線上。

到此這篇關于Log4j2?重大漏洞編譯好的log4j-2.15.0.jar包下載的文章就介紹到這了,更多相關Log4j2?重大漏洞內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

最新評論