监测发现,Apache开源项目Apache Log4j存在远程代码执行高危漏洞。经分析研判,由于该项目中基于Java的日志记录工具Apache Log4j2未对输入数据进行严格判断,攻击者可通过传递恶意数据的方式触发该漏洞,在目标服务器上实现任意代码执行。受影响的版本是Apache Log4j 2.0-2.14.1。目前,官方已发布漏洞修复版本(https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15-rc1)。

鉴于Apache Log4j2广泛应用于各种业务框架,该漏洞影响范围大,利用难度低,建议尽快将Apache Log4j升级到Apache Log4j 2.15.0.rc1。各院系部门要及时警示网站和系统用户,在确保安全的前提下及时堵塞漏洞,消除安全隐患,提高安全防范能力,发现系统遭攻击情况后及时处置并报告。

以下是检测及处置建议:

https://www.yuque.com/login.html/sec/log4j2

1.升级到最新版本:

请联系厂商获取修复后的官方版本:

https://github.com/apache/logging-log4j2

已发现官方修复代码,目前尚未正式发布:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

2.缓解措施:

(1). jvm参数 -Dlog4j2.formatMsgNoLookups=true 

(2). log4j2.formatMsgNoLookups=True

(3).系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

建议采用缓解。1修改JVM最好,修改完重启后ps aux|grep java看看是否生效。如果改3,注意是否生效。