简介
ApacheLog4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。
漏洞概述
该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
影响范围
Apache Log4j 2.x <= 2.15.0-rc1
漏洞编号: CVE-2021-44228,名称为Log4Shell或者LogJam
漏洞类型: Remote Code Execution (RCE)
组件名称: Apache log4j2
影响范围: 2.0.0 ≤ Apache Log4j2 ≤ 2.15.0-rc1
利用难度: 容易
威胁等级: 严重
解决方案
1.目前,Apache软件基金会已发布最新版本,建议受影响的用户及时更新升级到最新版本log4j-2.15.0-rc2:
https://logging.apache.org/log4j/2.x/security.html
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2.对于该漏洞还有一个临时的缓解措施:
设置log4j2.formatMsgNoLookups=true
.