12 月 10 日凌晨，Apache 開源項目 Log4j2 的遠程代碼執行漏洞細節被公開，漏洞威脅等級為：嚴重。

Log4j2 是一個基于 Java 的日志記錄工具。它重寫了 Log4j 框架，引入了大量豐富特性，讓用戶可以控制日志信息輸送的目的地為控制臺、文件、GUI 組件等。同時通過定義每一條日志信息的級別，讓使用者能夠更加細致地控制日志的生成過程。

Log4j 是目前全球使用最廣泛的 java 日志框架之一。該漏洞還影響著很多全球使用量前列的開源組件，如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等。因為該漏洞利用方式簡單，一旦有攻擊者利用該漏洞，就可以在目標服務器上執行任意代碼，給被攻擊者造成極大危害。

漏洞細節

此次漏洞主要是 Log4j2 內含的 lookup 功能存在 JNDI 注入漏洞，該功能可以幫助開發者通過一些協議讀取相應環境中的配置。漏洞觸發方式非常簡單，只要日志內容中包含關鍵詞 ${，那么這里面包含的內容就可以作為變量進行替換，攻擊者無需任何權限，可以執行任意命令。

此次漏洞影響的版本為：Apache Log4j 2.x <= 2.14.1

同時如果您使用了以下應用，也會被此次漏洞影響：

• Spring-Boot-strater-log4j2

• Apache Struts2

• Apache Solr

• Apache Flink

• Apache Druid

• ElasticSearch

• flume

• dubbo

• logstash

• kafka

漏洞修復

目前廠商已經發布了新版本 log4j-2.15.0-rc2，該版本已經修復了漏洞。希望大家能夠盡快升級到新版本。

官方鏈接：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

如果您暫時不方便進行版本升級，您也可以通過以下方法進行應急處理，并在方便的時候盡快完成版本升級：

• 修改 jvm 參數 -Dlog4j2.formatMsgNoLookups=true

• 修改配置 log4j2.formatMsgNoLookups=True

• 將系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為 true

無論是前年 Apach Shiro 的 cookie 持久化參數 rememberMe 加密算法存在漏洞，還是去年 5 月的 Fastjson 遠程代碼執行漏洞通告。網絡安全似乎總是存在各種各樣的問題，但是發現漏洞并修復漏洞本身就是對安全進行的一次升級。停止不動的安全方式很快就會被攻破，只有持續不斷地更新與升級才是真正的網絡安全。

總結

以上是生活随笔為你收集整理的Log4j执行漏洞修复教程的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。