一、基本情况
12月10日凌晨,平台发布了关于开源日志框架ApacheLog4j2远程代码执行漏洞的风险提示,提供的安全版本是Log4j2.15.0-rc1。验证发现,Log4j2.15.0-rc1版本存在漏洞绕过问题,请及时更新至Log4j2.15.0-rc2版本以修复漏洞。
二、受漏洞影响的ApacheLog4j2版本:
2.0≤Apachelog4j2≤2.15.0-rc1
三、处置建议:
1.升级ApacheLog4j2至最新安全版本:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2.缓解措施:
(1)jvm参数-Dlog4j2.formatMsgNoLookups=true;
(2)log4j2.formatMsgNoLookups=True;
(3)系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true。
