Log4J 是一个应用非常广泛的Java库,就在前两天的2021年12月10日,Log4J的一个安全漏洞被公布了。那天正好是周五,很多程序员都在计划着怎么度过一个愉快的周末,不料这个安全漏洞的公开,使得全世界很多程序员不得不周末加班,有的甚至通宵达旦紧急应对。
漏洞编号为 ,攻击者利用这个新的零日漏洞,可以远程执行恶意代码。
首先看看NIST上的官方描述:
Log4j2 在配置、日志消息和参数中使用了 JNDI 功能。如果 Log4j2 的版本 <=2.14.1 ,JNDI 相关功能无法防御攻击者控制的 LDAP 和其他 JNDI 相关端点。控制了日志消息或日志消息参数的攻击者可以执行从 LDAP 服务器上的任意代码。
所以如果你使用了Log4J输出日志,而且版本 <=2.14.