Java 日志框架 Apache Log4j2 被发现存在严重的远程代码执行漏洞

Java 日志框架 Apache Log4j2 被发现存在严重的远程代码执行漏洞 2021年12月10日，阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过，请及时更新至 Apache Log4j 2.15.0-rc2 版本。 Apache Log4j2是一款优秀的Java日志框架。2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。 漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日，阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过，请及时更新至 Apache Log4j 2.15.0-rc2 版本。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

360公司称黑客正利用 Log4j2 漏洞大量攻击个人用户

360公司称黑客正利用 Log4j2 漏洞大量攻击个人用户 12月12日下午消息，360公司今日透露，监测到大量黑客利用Apache Log4j 2漏洞攻击个人用户，其中Minecraft（游戏名称“我的世界”） Java版便是其中之一。这也意味着，元宇宙概念游戏正遭到大规模网络攻击。 据透露，9日晚，开源项目Apache Log4j2的一个远程代码执行漏洞的利用细节被公开，随后该漏洞被迅速公开。360安全大脑监测数据显示，目前，黑客已从攻击厂商升级为攻击个人用户，且攻击态势仍在加剧。甚至有一些恶意用户利用该漏洞简单的发起方式，在游戏的在线聊天中，发送一条带漏洞触发指令的消息，就可以对收到这条消息的用户发起攻击。 Sina，TestFlightCN频道

阿里云发表关于开源社区Apache log4j2漏洞情况的说明

阿里云发表关于开源社区Apache log4j2漏洞情况的说明 Log4j2 是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发。 近日，阿里云一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。 阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。 阿里云计算有限公司

【史诗级Log4j漏洞爆发1年仍“阴魂不散”，下一场暴雷可能已在路上】截至 2022 年 10 月 1 日，全球有 28% 的组

【史诗级Log4j漏洞爆发1年仍“阴魂不散”，下一场暴雷可能已在路上】截至 2022 年 10 月 1 日，全球有 28% 的组织已经完全修复了 Log4Shell，较 2022 年 5 月提高了 14%。但这还远远无法令人安心。 #抽屉IT

快过年了，不要再讨论什么log4j、cs、bypass、流量检测之类的了。你带你的破电脑回到家并不能给你带来任何实质性作用，朋友

快过年了，不要再讨论什么log4j、cs、bypass、流量检测之类的了。你带你的破电脑回到家并不能给你带来任何实质性作用，朋友们兜里掏出一大把钱吃喝玩乐，你默默的在家里摆弄你的破烂rce。亲戚朋友吃饭问你收获了什么，你说我装了个虚拟机，把各个工具都玩了一遍，亲戚们懵逼了，你还在心里默默嘲笑他们，笑他们不懂你的自动注入，不懂你的 10层代理、不懂你的流量混淆，也笑他们连个复杂点的密码都记不住。你父母的同事都在说自己的子女一年的收获，儿子买了个房，女儿买了个车，姑娘升职加薪了，你的父母默默无言，说我的儿子搞了个破电脑，开起来嗡嗡响、家里电表走得越来越快了。[妙啊]

【「互联网着火了」？理解让大厂纷纷沦陷的 Log4Shell 漏洞】这个被报道得神乎其神的漏洞所针对的，是一个极为常用的 Jav

【「互联网着火了」？理解让大厂纷纷沦陷的 Log4Shell 漏洞】这个被报道得神乎其神的漏洞所针对的，是一个极为常用的 Java 库 Log4j。值得一提，这个漏洞最初是由一名中国工程师、阿里云安全团队的 Chen Zhaojun 在 11 月下旬发现并提报的。 #抽屉IT