亚洲精品美女久久久久久久-四川少妇搡bbw搡bbbb-精品免费国产一区二区三区四区,差差差很疼30分钟的视频,蜜桃成人无码区免费视频网站,免费人成视频x8x8

18600329666

咨詢技術專家

掃一掃
與技術專家在線溝通

Menu
log4漏洞修復方法

來源:未知 時間:2022-52-26 瀏覽次數:370次

一.漏洞描述
Apache Log4j2 的遠程代碼執行漏洞細節被公開,該漏洞一旦被攻擊者利用會造成嚴重危害。經過快速分析和確認,該漏洞影響范圍極其廣泛,危害極其嚴重,我們建議企業第一時間啟動應急響應進行修復。此外,經過我們復現和驗證,TDP 基于其自研的通用漏洞檢測引擎,已于數月前支持對此次最新漏洞的檢測,無需任何更新:
二.可能的受影響應用
Spring-Boot-strater-log4j2
Apache Struts2
Apache Solr
Apache Flink
Apache Druid
ElasticSearch
flume
dubbo
Redis
logstash
kafka
三.檢測及修復方案
1、緊急緩解措施:
(1) 修改jvm參數 -Dlog4j2.formatMsgNoLookups=true
(2) 修改配置log4j2.formatMsgNoLookups=True
(3) 將系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為 true
2、檢測方案:
(1)由于攻擊者在攻擊過程中可能使用 DNSLog 進行漏洞探測,建議企業可以通過流量監測設備監控是否有相關 DNSLog 域名的請求,微步在線的 OneDNS 也已經識別主流 DNSLog 域名并支持攔截。
 
(2)根據目前微步在線對于此類漏洞的研究積累,我們建議企業可以通過監測相關流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符來發現可能的攻擊行為。
 
3、修復方案:
檢查所有使用了 Log4j2 組件的系統,官方修復鏈接如下:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1可能會無法打開
請點擊此處下載相關修復jar《log4漏洞修復文件》http://filesearch.ixiera.com/log4j2.zip
4.Spring Boot 用戶如何處理
Spring Boot 用戶只有在將默認日志系統切換到 Log4J2 時才會受到此漏洞的影響。 我們包含在 spring-boot-starter-logging 中的 log4j-to-slf4j 和 log4j-api jar 不能被單獨利用。 只有使用 log4j-core 并在日志消息中包含用戶輸入的應用程序容易受到攻擊。
Spring Boot 即將發布的 v2.5.8 和 v2.6.2 版本(2021 年 12 月 23 日到期)將采用 Log4J v2.15.0,但由于這是一個如此嚴重的漏洞,您可能希望覆蓋我們的依賴項管理并盡快升級您的 Log4J2 依賴項。
5.Maven 處理log4j2指南
對于 Maven 用戶,您可以按照這些說明進行設置 log4j2.version 屬性.
<properties>
    <log4j2.version>2.15.0</log4j2.version>
</properties>
如何確認是否成功修復?運行 ./mvnw dependency:list | grep log4j檢測版本是否為2.15.0.
6.通過JVM參數處理漏洞
如果程序/系統很難升級,則可以選擇追加參數避免該漏洞。
設置log4j2.formatMsgNoLookups系統參數為true即可
例如
java -Dlog4j2.formatMsgNoLookups=true -jar myapp.jar.