高危预警 || 海云安发布Apache Log4j2漏洞处置方案

嘿 Log4 j2 中的这个漏洞真的很可怕。
上周有客户问我,当时我很困惑。
但后来我发现这个弱点真的很严重。
它可以直接执行远程代码并升级权限。
这是灾难片级别的。

想一想,它的影响有多大?例如,Spring Boot使用log4 j2 、Struts2 和Solr; Flink,Druid ElasticSearch,使用 Dubbo 和 Kafka 等老东西。
反正用得越多,就越头疼。
我之前有一个项目使用Dubbo,当时使用的是老版本的Log4 j2 我很害怕,连夜查看版本。
幸亏发现及时;否则的话,就会被劈成碎片。

检查版本非常简单。
对于 Maven 项目;查看pom.xml;对于 Gradle 项目;查看 build.gradle 是否存在对 org.apache.logging.log4 j 的依赖以及版本号是否小于 2 .1 5 .0-rc2 如果是这样,请等待升级。
这就像在自己的食品储藏室里找到过期的零食一样。
你只需环顾四周就能找到它们。

我觉得海云安的计划还是比较实际的。
官方补丁版本为2 .1 5 .0-rc2 所有使用 Log4 j2 的应用程序您应该快速升级到此版本。
官方网站上有一个链接供您下载。
https://github.com/apache/logging-log4 j2 /releases/tag/log4 j-2 .1 5 .0-rc2 ;你应该检查一下。
但升级的时候一定要小心。
上次我升级了一些框架。
因为版本不匹配花了一晚上的时间。

如果实在不方便,暂时没有条件升级的话,可以先用海云安的应急措施。
添加 JVM 参数 -Dlog4 j2 .formatMsgNoLookups=true 或更改系统环境变量并将 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true 或创建单独的 log4 j2 .component.properties 文件并将其写入 log4 j2 .formatMsgNoLookup。
他们可以暂时禁用消息格式的搜索功能以防止被利用。
但这就像包扎伤口一样。
它治疗的是症状,但不是根本原因。
如果我能上去,我就上去。

不过,还是可以照顾一下的。
这件事没必要着急。
在升级一些旧系统时仍然想知道兼容性。
这部分我没有亲身经历过,就不废话了。

fofa常用语法+新功能-网络空间测绘

知白网络安全演练系统-新增Apache Log4j2演练靶场