今年人类因为疫情，左一针右一针；代码也是不甘落后，各种漏洞，还能怎样？缝缝补补又三年。早在9号收到了Log4j2的漏洞报告，起初没放在心上，听名字以为就是个Apache才会有的漏洞，这里我得甩个锅，都怪起名的人。直到今天收到*强制要求升级的通知，好家伙，跳起来赶工。

一、危害等级

Apache Log4j2 的远程代码执行漏洞细节被公开，该漏洞一旦被攻击者利用会造成严重危害。经过快速分析和确认，该漏洞影响范围极其广泛，危害极其严重，我们建议企业第一时间启动应急响应进行修复。此外，经过我们复现和验证，TDP 基于其自研的通用漏洞检测引擎，已于数月前支持对此次最新漏洞的检测，无需任何更新：

 

二、漏洞概况

Apache Log4j2 是一款开源的 Java 日志记录工具，大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。漏洞复现如图所示：

 此次受影响版本如下：

可能的受影响应用包括但不限于如下：

• Spring-Boot-strater-log4j2
• Apache Struts2
• Apache Solr
• Apache Flink
• Apache Druid
• ElasticSearch
• flume
• dubbo
• Redis
• logstash
• kafka

三、漏洞评估

公开程度：漏洞细节已公开

利用条件：无权限要求

交互要求：0 click

漏洞危害：高危、远程代码执行

影响范围： <= 2.14.1

四、检测修复方案

1、紧急缓解措施：

（1） 修改jvm参数 -=true     

（2） 修改配置=True

（3） 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

2、检测方案：

（1）由于攻击者在攻击过程中可能使用 DNSLog 进行漏洞探测，建议企业可以通过流量监测设备监控是否有相关 DNSLog 域名的请求，微步在线的 OneDNS 也已经识别主流 DNSLog 域名并支持拦截。

（2）根据目前微步在线对于此类漏洞的研究积累，我们建议企业可以通过监测相关流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。

3、修复方案：

检查所有使用了 Log4j2 组件的系统，官方修复链接如下：

/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

五、简单一点吧

上面基本上都是官方给出的漏洞评估及解决方案。

检查下项目是否使用了log4j插件，这是18年的项目，挺老的。

1、升级log4j

2、修改jvm参数 -=true     

3、修改配置=True

4、将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

虽然使用的低版本log4j插件，但是项目上并没有检测到被攻击的痕迹，估计是站点太low，大佬都不愿意弄它们了。我是真的优秀！