來源：21世紀經濟報道

　　原標題：Apache Log4j爆高危漏洞危害堪比“永恒之藍” 已發現近萬次攻擊

　　近日，被全球廣泛應用的組件Apache Log4j被曝出一個已存在在野利用的高危漏洞，攻擊者僅需一段代碼就可遠程控制受害者服務器。幾乎所有行業都受到該漏洞影響，包括全球多家知名科技公司、電商網站等，漏洞波及面和危害程度均堪比 2017年的“永恒之藍”漏洞。

　　據奇安信集團透露，根據安域云防護的監測數據顯示，截至12月10日中午12點，已發現近1萬次利用該漏洞的攻擊行為。奇安信應急響應中心已接到十余起重要單位的漏洞應急響應需求。奇安信已于12月9日晚間將漏洞信息上報了相關主管部門。補天漏洞響應平臺負責人介紹，12月9日深夜，僅一小時內就收到白帽黑客提交的百余條該漏洞的信息。

　　經專家研判，該漏洞影響范圍極大，且利用方式十分簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執行任何多余操作即可觸發該漏洞，使攻擊者可以遠程控制用戶受害者服務器，90%以上基于java開發的應用平臺都會受到影響。

前晚，互聯網上曝出了 Apache Log4j2 中的遠程代碼執行漏洞，其危害性使得該漏洞吸引了安全圈所有人的目光。融安網絡為防止其繼續擴大影響范圍，特發布針對該漏洞的分析和修復建議。

一、漏洞介紹

Apache Log4j 是 Apache 實現的一個開源日志組件。Apache Log4j 2 是對 Log4j 的升級，它比其前身 Log4j1.x 提供了重大改進，并提供了 Logback 中可用的許多改進。Apache Log4j2 中存在遠程代碼執行漏洞，在使用特定的 JNDI 內容進行日志記錄時可以觸發反序列化漏洞，造成遠程代碼執行。

二、漏洞利用細節

漏洞評級：【高危】

CVSS評分：10（最高級）

該漏洞影響范圍極廣，危害極大。

漏洞狀態：

三、漏洞編號

CVE漏洞編號暫未分配。

四、影響范圍

Apache Log4j 2.x <= 2.14.1

五、修復建議

升級項目使用的 Apache Log4j2 到最新 log4j-2.15.0-rc2 版本，具體下載地址如下：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

未能及時升級的緩解措施：

1.添加 jvm 參數 -Dlog4j2.formatMsgNoLookups=true

2. log4j2.formatMsgNoLookups=True

六、融安網絡安全產品防護處理

已支持該漏洞的檢測和防護。

更多文章、技術交流、商務合作、聯系博主

微信掃碼或搜索：z360901061

微信掃一掃加我為好友

QQ號聯系： 360901061

您的支持是博主寫作最大的動力，如果您喜歡我的文章，感覺我的文章對您有幫助，請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧，狠狠點擊下面給點支持吧，站長非常感激您！手機微信長按不能支付解決辦法：請將微信支付二維碼保存到相冊，切換到微信，然后點擊微信右上角掃一掃功能，選擇支付二維碼完成支付。

【本文對您有幫助就好】元

2元

5元

10元

20元

自定義

喜歡作者