速看：Apache Log4j2 高危漏洞细节公开

一个Apache Log4j2的高危漏洞细节被公开，攻击者利用漏洞可以远程执行代码。

一个Apache Log4j2的高危漏洞细节被公开，攻击者利用漏洞可以远程执行代码。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。

近日，一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开，Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

网安之路表示，这个漏洞简单翻译一下就是：在打印日志时，如果发现日志内容中包含关键词 ${，那么这个里面包含的内容会当做变量来进行替换，导致攻击者可以任意执行命令，具体的 payload 已经公开，大量网站存在这个问题。

多家公司针对此漏洞发布了相关公告，目前受到影响的版本为Apache log4j2 2.0 - 2.14.1 版本。经业界安全团队验证，漏洞利用无需特殊配置，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等应用和组件均受影响。

目前，Apache官方已发布补丁，建议大家尽快升级到安全版本。

更多相关技术内容咨询欢迎前往并持续关注六星社区了解详情。

如果你想用Python开辟副业赚钱，但不熟悉爬虫与反爬虫技术，没有接单途径，也缺乏兼职经验
关注下方微信公众号：Python编程学习圈，获取价值999元全套Python入门到进阶的学习资料以及教程，还有Python技术交流群一起交流学习哦。

0 条评论