Apache Log4j2RCE漏洞復現

新建一個Maven項目，在pom.xml導入即可

 <dependencies>        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->        <dependency>            <groupId>org.apache.logging.log4j</groupId>            <artifactId>log4j-core</artifactId>            <version>2.14.1</version>        </dependency>        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->        <dependency>            <groupId>org.apache.logging.log4j</groupId>            <artifactId>log4j-api</artifactId>            <version>2.14.1</version>        </dependency>    </dependencies>

修復建議

1、使用火線安全的洞態IAST進行檢測 --》DongTai-IAST

2、檢查pom.xml是否存在log4j版本 2.0<= 2.14.1

3、當前官方已發布最新版本，建議受影響的用戶及時更新升級到最新版本。

鏈接如下：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

4、臨時性緩解措施（任選一種）

• 在jvm參數中添加 -Dlog4j2.formatMsgNoLookups=true
• 系統環境變量中將FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設置為true
• 創建“log4j2.component.properties”文件，文件中增加配置“log4j2.formatMsgNoLookups=true”