【高危】- Apache Log4j SocketServer反序列化漏洞风险(CVE-2019-17571)
■ 漏洞描述
Apache Log4j是一个基于Java的日志记录工具,是Apache软件基金会的一个项目,是几种Java日志框架之一。
近日,Apache Log4j官方披露在1.2.x版本中的SocketServer类存在反序列化漏洞(CVE-2019-17571),攻击者可利用漏洞可实现远程代码执行。
■ 影响范围
Apache Log4j <=1.2.17
■ 漏洞检测
检测方法:
1、查看软件版本。
2、查看是否使用Log4j的SocketServer类。
■ 漏洞修复
1. Apache Log4j的1.2系列版本官方在2015年8月已停止维护,在2.8.2版本中已修复了该漏洞,建议尽快升级到2.8.2或更高的版本; 下载地址:https://logging.apache.org/log4j/2.x/download.html
■ 临时修复
1.停止使用Log4j的SocketServer类创建Socket服务,未使用Log4j的SocketServer类的功能不受漏洞影响。
■ 漏洞详情
https://logging.apache.org/log4j/1.2/?spm=a2c4g.11174386.n2.4.2bc41051J808eS
Apache Log4j是一个基于Java的日志记录工具,是Apache软件基金会的一个项目,是几种Java日志框架之一。
近日,Apache Log4j官方披露在1.2.x版本中的SocketServer类存在反序列化漏洞(CVE-2019-17571),攻击者可利用漏洞可实现远程代码执行。
■ 影响范围
Apache Log4j <=1.2.17
■ 漏洞检测
检测方法:
1、查看软件版本。
2、查看是否使用Log4j的SocketServer类。
■ 漏洞修复
1. Apache Log4j的1.2系列版本官方在2015年8月已停止维护,在2.8.2版本中已修复了该漏洞,建议尽快升级到2.8.2或更高的版本; 下载地址:https://logging.apache.org/log4j/2.x/download.html
■ 临时修复
1.停止使用Log4j的SocketServer类创建Socket服务,未使用Log4j的SocketServer类的功能不受漏洞影响。
■ 漏洞详情
https://logging.apache.org/log4j/1.2/?spm=a2c4g.11174386.n2.4.2bc41051J808eS