开发者社区> 问答> 正文

Apache Log4j2远程代码执行漏洞有对应更新么?

漏洞描述

Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

https://help.aliyun.com/noticelist/articleid/1060971232.html

原提问者GitHub用户david5515

展开
收起
山海行 2023-07-05 18:02:56 58 0
4 条回答
写回答
取消 提交回答
  • 北京阿里云ACE会长

    是的,Apache Log4j2 远程代码执行漏洞已经得到了修复,您可以升级到最新版本以解决该漏洞。

    这个漏洞被称为 Log4Shell,影响 Log4j 2.0.0 到 2.14.1 版本。攻击者可以通过构造恶意的日志消息触发漏洞,从而在目标服务器上执行任意代码。这是一个非常严重的漏洞,已经被评为 10 分的最高危级别。

    Apache Log4j 项目组已经在 2021 年 12 月 11 日发布了 Log4j 2.17.0 版本,该版本修复了 Log4Shell 漏洞。如果您正在使用 Log4j2,建议您尽快升级到 2.17.0 版本或更高版本。

    2023-07-30 20:48:22
    赞同 展开评论 打赏
  • 但是由于其存在递归解析功能,攻击者可以利用该漏洞构造恶意请求,触发远程代码执行漏洞。该漏洞影响范围广泛,包括Apache Struts2、Apache Solr、Apache Druid、Apache Flink等多个开源项目。因此,建议用户尽快采取安全措施,以防止漏洞攻击。

    2023-07-09 10:19:30
    赞同 展开评论 打赏
  • Aliyun Druid不是Apache Druid,Driud没有直接依赖log4j2,只是通过反射判断当前环境有什么log库就用什么库

    原回答者GitHub用户wenshao

    2023-07-06 10:42:07
    赞同 展开评论 打赏
  • Apache Log4j2是一款广泛使用的Java日志框架,用于帮助开发者在应用程序中记录和管理日志信息。然而,在2021年11月24日,阿里云安全团队向Apache官方报告了一个严重的安全漏洞,影响了Apache Log4j2。

    该漏洞允许攻击者利用Log4j2中的某些功能中的递归解析功能,通过构造恶意请求来触发远程代码执行。攻击者可以利用这个漏洞绕过应用程序的安全措施,并在受影响的系统上执行任意代码。

    经过阿里云安全团队的验证,不仅Apache Log4j2本身受到漏洞影响,还发现其他一些流行的Apache项目,如Apache Struts2、Apache Solr、Apache Druid和Apache Flink等也受到了这个漏洞的威胁。

    鉴于漏洞的危害性,阿里云应急响应中心建议所有使用Apache Log4j2的用户立即采取安全措施来阻止可能的攻击。这包括及时更新到最新版本的Log4j2,或者禁用受漏洞影响的功能。

    此外,建议用户密切关注Apache官方的安全公告和建议,以获取最新的安全更新和补丁信息,并及时采取相应的措施来保护自己的系统免受潜在的攻击。

    2023-07-05 19:08:55
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
Apache Flink技术进阶 立即下载
Apache Spark: Cloud and On-Prem 立即下载
Hybrid Cloud and Apache Spark 立即下载

相关镜像