【漏洞預警】Apache Log4j 遠端程式碼執行漏洞
漏洞說明:
Apache Log4j2是一款優秀的Java日誌框架。2021年11月24日,阿里雲安全團隊向Apache官方報告了Apache Log4j2遠端程式碼執行漏洞。由於Apache Log4j2某些功能存在遞迴解析功能,攻擊者可直接構造惡意請求,觸發遠端程式碼執行漏洞。漏洞利用無需特殊配置,經阿里雲安全團隊驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。
影響版本:
Apache Log4j 2.x <= 2.14.1
安全建議:
1、升級Apache Log4j2所有相關應用到最新的 log4j-2.15.0-rc1 版本,
地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
2、升級已知受影響的應用及元件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid
![[漏洞預警] 中國蟻劍爆出XSS\RCE漏洞-波波的寂寞世界](https://lonelysec.com/wp-content/uploads/2019/04/中國蟻劍-220x150.jpg)
