近日Apache Log4j2出現(xiàn)漏洞導致我的世界杯黑客攻擊，不少玩家都受到了不同程度的影響，而這一切的起因都是因為Apache Log4j2漏洞。怎么才能修復Apache Log4j2漏洞呢？來看看吧！

Apache Log4j2漏洞是怎 么回事

Apache Log4j是一個基于Java的日志記錄工具，是Apache軟件基金會下的一個開源項目。而此次出現(xiàn)漏洞的Apache Log4j2則是目前該項目的最新版本，且被廣泛地應用于各種常見的Web服務中。而所有使用Java作為開發(fā)語言產品研發(fā)的互聯(lián)網服務提供商、甚至公司OA系統(tǒng)等提供外部服務的應用只要用Apache Log4j2插件，都極有可能遭受攻擊。

據悉，攻擊者僅需向目標輸入一段代碼，不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞，使攻擊者可以遠程控制用戶受害者服務器，凡是基于java開發(fā)的應用平臺都可能會受到影響。目前，IT通信（互聯(lián)網）、高校、工業(yè)制造、金融、政府、醫(yī)療衛(wèi)生、運營商等幾乎所有行業(yè)都受到該漏洞波及，全球知名科技公司、電商網站等也未能幸免，個人用戶也難以幸免。

近日，黑客利用最新曝光的Log4j2漏洞對Minecraft玩家發(fā)起攻擊，且攻擊方法極為簡單，聊天窗口發(fā)個網址即可觸發(fā)該漏洞。攻擊最早發(fā)生于12月10日，早期攻擊規(guī)模較小，第一天檢測到的受攻擊玩家數(shù)量在100左右。12月11日12時起，黑客發(fā)起大規(guī)模攻擊，從12時開始到目前，平均每小時有近5000個Mincraft玩家遭到攻擊，攻擊最高峰時有超過10000個玩家遭到攻擊。

Apache Log4j2漏洞怎么修復

1、項目中直接使用Apache Log4j2

升級Apache Log4j2所有相關應用到最新的log4j-2.15.0-rc2 版本，地址 ：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

Apache Maven 版本

修改pom.xml

[AppleScript] 代碼如下：

org.apache.logging.log4j log4j-api 2.15.0-rc2 org.apache.logging.log4j log4j-core 2.15.0-rc2

Gradle 版本

修改build.gradle

[AppleScript] 代碼如下：

dependencies { compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.15.0-rc2' compile group: 'org.apache.logging.log4j', name: 'log4j-core', version: '2.15.0-rc2'}

2、框架次加載 Apache Log4j2

截止目前，第三方框架中使Apache Log4j2的，如srping-boot、Apache Struts2等，暫未發(fā)布最新修復版本。

只能使用臨時方案進行修復。

①在jvm啟動參數(shù)中添加-Dlog4j2.formatMsgNoLookups=true

②系統(tǒng)環(huán)境變量中配置FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true

③項目中創(chuàng)建log4j2.component.properties文件，文件中增加配置log4j2.formatMsgNoLookups=true

④部署第三方防火墻產品。

Apache Log4j2漏洞有什么不好的影響

由于minecraft java版也使用了log4j，這個漏洞甚至可以用來在生存模式下作弊，實測在低版本java（java8u191之前的版本）下可以在minecraft聊天內使用jndi注入，因為minecraft會把聊天輸入內容打在log里，用的就是log4j，因為命令方塊也可以實現(xiàn)此注入，在有外部程序配合的情況下，可以實現(xiàn)完全看不出任何破綻的作弊

官方啟動器+官方jre玩家不用進行任何操作，雖然正版的log4j版本是存在漏洞的版本，但是因為目前官方啟動器用的jre是基于openjdk16的，openjdk16不能使用jndi注入。

但是還在使用低版本java開服的服主，建議盡快升級log4j和java版本。

網頁標題：ApacheLog4j2漏洞是怎么回事ApacheLog4j2漏洞怎么修復
本文路徑：http://chinadenli.net/news18/204518.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供手機網站建設、企業(yè)建站、外貿網站建設、響應式網站、云服務器、定制開發(fā)

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)