Apache Log4j2 远程代码执行漏洞预警公告
- 淘宝开放平台Apache Log4j2 远程代码执行漏洞预警公告
尊敬的开发者:
今日国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞,通用漏洞编号CNVD-2021-95914。
Apache Log4j2是一款优秀的Java日志框架,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞,漏洞利用无需特殊配置。漏洞等级为:高危。
目前受影响范围如下:
Apache Log4j 2.x < 2.15.0-rc2
建议使用相关组件的开发者进行自查,发现存在该漏洞后及时按照以下方案进行处置:
1、禁用lookup属性
1)2.10.0 及以上版本,在 java 启动参数增加配置 -Dlog4j2.formatMsgNoLookups=true
2)2.9.x 版本,升级至 2.10.0,再进行配置
2、更新至 Apache Log4j 2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
3、开启waf防护,并确认waf已更新Apache Log4j远程代码执行规则
若有问题可以到支持中心提交工单。
阿里巴巴.开放平台
2021年12月10日
本文转载 " 淘宝开放平台 整理 "
原文地址 " "