Log4j2核弹级漏洞线上修复方案！

一、漏洞描述2月9日晚，Apache Log4j2反序列化远程代码执行漏洞细节已被公开，Apache Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。
Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。
因该组件使用极为广泛，利用门槛很低，危害极大，腾讯安全专家建议所有用户尽快升级到安全版本。
二、漏洞风险高危，该漏洞影响范围极广，利用门槛很低，危害极大。CVSS评分：10（最高级）
三、漏洞影响版本Apache log4j2 >= 2.0,
四、安全版本Apache log4j2 2.15.0
五、修复方案建议综合国内机构意见，目前针对Apache Log4j漏洞的主要应对方法如下：
1.Apache Log4j 官方已经发布了解决上述漏洞的安全更新，建议受影响用户尽快升级到安全版本：
安全版本：log4j-2.15.0-rc2
官方安全版本下载可以参考以下链接：
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2.建议对 Apache Struts2/Apache Solr/Apache Flink/Apache Druid 等已知受影响的应用及组件进行升级
六、临时缓解措施1.设置jvm参数 -Dlog4j2.formatMsgNoLookups=true。
2.设置log4j2.formatMsgNoLookups=True。
3.设置系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 为 true。
4.采用 rasp 对lookup的调用进行阻断。
5.采用waf对请求流量中的${jndi进行拦截。
6.禁止不必要的业务访问外网。
七、腾讯云线上修复措施腾讯云安全服务详细解决方案：
https://view.inews.qq.com/a/20211211A032S100

推荐阅读：

往期推荐

教你在 GitHub上面快速定位项目

SpringBoot+MyBatis+MySQL读写分离（实例）

Java程序员面试之HashMap

MySQL性能优化你都实践过吗？

Java程序员面试之---String类型

基于 SpringBoot 开源的小说和漫画在线阅读网站

我知道你 “在看”