安全|核弹级漏洞log4shell席卷全球修改iPhone名称就可触发( 二 )_核弹级漏洞log4shell席卷全球|修

其中甚至包括美国国家安全局的逆向工程工具GHIDRA 。
因此也就不奇怪，在9号当晚公开那天听说不少程序员半夜起来敲代码。
网络监控Greynoise表示，攻击者正在积极寻找易受Log4Shell攻击的服务器，目前大约有100个不同的主机正在扫描互联网，寻找利用 Log4j 漏洞的方法。
考虑到这个库无处不在、带来的影响以及触发难度较低，安全平台LunaSec将其称为Log4Shell漏洞，甚至警告说，任何使用Apache Struts的人都“可能容易受到攻击” 。
不少网友对此惊叹于这史诗级别的漏洞，并担心恐要持续几个月甚至几年。

文章图片

如何解决？
2021年12月9日，Apache官方发布了紧急安全更新以修复该远程代码执行漏洞。但更新后的Apache Log4j 2.15.0-rc1 版本被发现仍存在漏洞绕过。
12月10日凌晨2点，Apache再度紧急发布log4j-2.15.0-rc2版本。

文章图片

与此同时，国家互联网应急中心还给出了如下措施以进行漏洞防范。
1）添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true；
2）在应用classpath下添加log4j2.component.properties配置文件，文件内容为log4j2.formatMsgNoLookups=true；
3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；
【安全|核弹级漏洞log4shell席卷全球修改iPhone名称就可触发】4）部署使用第三方防火墙产品进行安全防护。