漏洞描述:
一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码.
受影响版本:
Apache log4j2 2.0 - 2.14.1 版本均受影响.
安全版本:
Apache log4j-2.15.0-rc1
漏洞修复方案
Apache官方已发布补丁.
补丁下载地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
漏洞缓解措施:
- jvm 参数 -Dlog4j2.formatMsgNoLookups=true
- log4j2.formatMsgNoLookups=True
