如何看待这次阿里云未及时上报高危漏洞的事件

本文主要介绍关于log4j2漏洞的知识点，对【Apache Log4j2 漏洞解决办法】和【如何看待这次阿里云未及时上报高危漏洞的事件】有兴趣的朋友可以看下由【半夏_2021】投稿的技术文章，希望该技术和经验能帮到你解决你所遇的【日志】相关技术问题。

如何看待这次阿里云未及时上报高危漏洞的事件

漏洞描述】
log4j2是apache实现的一个开源日志组件。2021年12月9日Apache Log4j 2被披露出存在严重的远程代码执行漏洞。该日志框架被大量用于业务系统开发，用来记录日志信息。此次漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。log4j2属于第三方组件库，被大量Java框架应用使用，即Apache Struts2、Apache Solr、Apache Druid、Apache Flink、Apache Dubbo、Apache Kafka、Spring-boot-starter-log4j2等应用均受影响。经京东云安全团队研判后，认定该漏洞影响范围广，漏洞危害极大。
【风险等级】
威胁等级: 严重
影响范围: 广泛
利用难度: 简单
【影响版本】Apache Log4j 2.x <= 2.14.1
【安全版本】log4j-2.15.0-rc2
【修复建议】
1、 排查Java应用是否引入 log4j-api , log4j-core 两个jar，及/Apache Solr/Apache Flink/Apache Druid/Apache Dubbo/srping-boot-strater-log4j2等应用和组件，请及时检查所有相关应用升级到最新版本。官方补丁 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、 紧急缓解措施：
（1） 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
（2） 修改配置log4j2.formatMsgNoLookups=True
（3） 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
官方链接：
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

本文《Apache Log4j2 漏洞解决办法》版权归半夏_2021所有，引用Apache Log4j2 漏洞解决办法需遵循CC 4.0 BY-SA版权协议。