还是稍微记录一下这个害得大家加班的大bug。
发生版本Log4j versions 2.0 through 2.14.1。
(更新到2.15也不行。)
解决方案 升级到2.17.02.16还是有bug。
https://logging.apache.org/log4j/2.x/
如果不能升级- 加JVM参数:-Dlog4j2.formatMsgNoLookups=true
- 如果没有用,直接删掉:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
一顿操作猛如虎,感觉还是有些反应过度了。
一般都是直接扫描,一旦发现,换!
但是,不是所有的系统都是面向网络的,一个后台小工具,急什么。
要实现这个攻击,一般要先构造一个HTTP请求,然后把payload放到Header里,比如:User-Agent。
没有暴露到网络的应用,原则上来说是没有很大风险的。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://blogs.juniper.net/en-us/security/apache-log4j-vulnerability-cve-2021-44228-raises-widespread-concerns
