【IT168 资讯】提到高危漏洞，很多企业都会对此闻之色变，2017年被“永恒之蓝”支配的恐惧很多企业安全人员至今都难以忘记。正所谓只要有代码就会存在漏洞，对于安全从业人员来讲，漏洞并不少见，但即便如此，高危漏洞还是会让大家措手不及。

　　今天（12月10日），多家网络安全企业对一高危漏洞进行了通告，国家信息安全漏洞共享平台（CNVD）也对其进行了收录，它就是今日火爆安全圈的“漏洞明星”——Apache Log4j2远程代码执行漏洞（CNVD-2021-95914）。据称，该漏洞的影响范围极大，毫不夸张的讲，没有哪个行业能够在该漏洞面前独善其身！

　　漏洞介绍

　　根据介绍，本次漏洞影响的产品版本包括：Apache Log4j2 2.0 - 2.15.0-rc1，利用该漏洞，攻击者能够在未授权的情况下远程执行代码。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。

　　有专家表示，该漏洞影响范围极大，且利用方式十分简单，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制用户受害者服务器，90%以上基于java开发的应用平台都会受到影响！

　　资料显示，该漏洞在11月24日就被阿里云安全团队发现并向Apache官方进行了报告。目前，漏洞利用细节已公开，Apache官方已发布补丁修复该漏洞。

　　缘何引起如此大的轰动？

　　相信不少企业IT人员从昨晚开始就受到了该漏洞的“摧残”，今天更是占据了网络安全领域的“头版头条”。根据专家介绍，Apache Log4j RCE 漏洞之所以能够引起安全圈的极大关注，不仅在于其易于利用，更在于它巨大的潜在危害性。当前几乎所有的技术巨头都在使用该开源组件，它所带来的危害就像多米诺骨牌一样，影响深远。专家提到，我们首先需要做的是梳理自身产品中所使用的软件资产，检测其中是否使用了开源组件、影响哪些资产、影响程度如何，判断受影响资产应修复到哪个版本，其它关联组件是否受影响等，最后着手修复和防御后续类似攻击。

　　安全专家还表示，开源软件安全治理是一项任重道远的工作，需要国家、行业、用户、软件厂商都重视起来并投入才能达到良好效果。

　　有何应对措施？

　　针对该高危漏洞，Apache官方已发布新版本完成漏洞修复，企业用户应及时针对该漏洞进行自查修复，建议使用相关应用组件（如Apache Struts2、Apache Solr、Apache Druid、Apache Flink等）构建网站的信息系统运营者进行自查，并及时升级至最新版本：

　　https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

　　根据安全专家建议，在对版本进行升级时候，应同时采用以下措施，对漏洞进行防范：

　　1）添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true；

　　2）在应用classpath下添加log4j2.component.properties配置文件，文件内容为log4j2.formatMsgNoLookups=true；

　　3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；

　　4）部署使用第三方防火墙产品进行安全防护。

　　此外，针对本次高危漏洞，各大安全企业也在第一时间做出反应，纷纷给出相关建议以及自家的产品和解决方案，从而帮助用户最大程度上的减少该漏洞的影响。

　　附：节选部分安全企业修复建议及解决方案：

　　（注：以下解决方案为笔者通过网络查找，为截稿时企业最新版本方案，企业名称先后顺序不做排名使用）

　　阿里云应急响应：

　　奇安信：

　　360政企安全：

　　华为安全：

　　新华三安全：

　　启明星辰：

　　绿盟科技：

　　腾讯安全：