介紹

Log4j 2 遠(yuǎn)程代碼執(zhí)行漏洞風(fēng)險(xiǎn)通告

Apache Log4j 2 被披露出存在潛在反序列化代碼執(zhí)行漏洞，漏洞被利用可導(dǎo)致服務(wù)器被入侵等危害。這正是Minecraft所采用的日志工具。

新聞報(bào)道

在12月9日晚間出現(xiàn)了Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞攻擊代碼。該漏洞利用無(wú)需特殊配置，經(jīng)多方驗(yàn)證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架，建議廣大交易所、錢包、DeFi項(xiàng)目方抓緊自查是否受漏洞影響，并盡快升級(jí)新版本。

影響版本

Apache log4j2 >= 2.0, <= 2.14.1

Minecraft 全版本所有系列服務(wù)端，除Mohist 1.18外。

所有包含 Apache log4j2 2.0-2.14.1 版本依賴庫(kù)的服務(wù)端（? 至 Minecraft 1.18）

https://github.com/apache/logging-log4j2/commit/d82b47c6fae9c15fcb183170394d5f1a01ac02d3

風(fēng)險(xiǎn)

惡意人士可以通過(guò)這個(gè)漏洞對(duì)您的服務(wù)器造成卡服，崩服，提取權(quán)限等操作

有技術(shù)含量的人可以直接入侵您的機(jī)器

【具體風(fēng)險(xiǎn)本欄不做太多介紹】

修復(fù)建議 1

前往各個(gè)核心官網(wǎng)更新您所使用的核心，目前為止大部分核心都已經(jīng)給出了修復(fù)版本

若未找到核心修復(fù)版本可以嘗試修復(fù)建議2

修復(fù)建議 2

1. 禁止沒(méi)有必要的業(yè)務(wù)訪問(wèn)外網(wǎng)。

2. 設(shè)置jvm參數(shù) “-Dlog4j2.formatMsgNoLookups=true”

3. 設(shè)置“log4j2.formatMsgNoLookups=True”

4. 系統(tǒng)環(huán)境變量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設(shè)置為“true”

【備注】：建議您在升級(jí)前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外漏

結(jié)語(yǔ)

本欄內(nèi)容最早發(fā)布于九州風(fēng)云[mc9z.cn]社區(qū)，完整內(nèi)容請(qǐng)看原帖

可在社區(qū)公告進(jìn)行查看