Log4j 远程命令执行漏洞通告

Apache Log4j 2 是一款优秀的开源日志框架，近日我司监测到 Log4j 官方公开了一个远程命令执行漏洞。由于线上 web 业务的任何数据都可能写入 log4j，甚至一些 pre-auth 的地方，比如注册、登录，实际攻击入口取决于业务具体情况。综合评估利用难度低，利用要求少，影响范围较大，已存在在野利用，建议您尽快自行检查修复。

版本影响

以下版本均受影响：

Apache Log4j 2.x <= 2.14.1

临时方案

目前官方已公开修复代码，但尚未正式发布，可选择以下方案缓解：

设置 log4j2.formatMsgNoLookups=True

禁止 log4j 所在服务器外连

产品支持

青藤已在第一时间进行分析后支持检测，点击系统左边栏「风险发现-漏洞检测」，选择该检查项创建作业进行检测。

参考

https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/