Log4shell: 介绍及应对方法

log4shell 是一种新型的漏洞，也被称为 CVE-2021-44228，它存在于 Apache Log4j 中，它是一款广泛使用的 Java 日志库，许多企业和组织都在使用这个库；由于其在短时间内曝光程度极大，众多厂家都已发布应对措施。

漏洞风险

经过初步测试，log4shell 漏洞造成的风险主要包括：

• 远程命令执行（RCE）
• 拒绝服务（DoS）

命令执行可能会导致攻击者获得系统控制，而服务拒绝可能会影响系统的可用性。

影响范围

任何使用 Apache Log4j 1.x 或 Log4j 2.x 的应用程序都有可能受到此漏洞的影响。从提供网络服务到内部业务系统，几乎所有使用 Java 的企业或组织都可能受到影响。

应对方案

下面列出了一些广泛使用的应对方法：

升级 Log4j

目前，许多厂家已经发布了针对此漏洞的修复版本 —— Apache Log4j 2.17.0，升级到该版本可以有效避免漏洞的威胁。

禁止动态日志配置

在到达 Log4j 2.15.0 之前，Log4j 库的动态日志记录特性是第一时间获得 CVE-2021-44228 漏洞利用的目标。在此建议暂时禁用这种功能，以减轻威胁。

拦截处理

许多网络安全的产品都具备拦截功能，它们能够选择性地检测包含有恶意请求的 HTTP 报文以阻止漏洞利用。运行这些产品的组织将更容易发现攻击行为，并能够更快地做出反应。

替代库

Log4j 是一款强大的日志库，但如果组织已经使用其它日志库，则可以考虑转换为使用较少受到攻击的库。

总结

log4shell 对许多企业和组织的 Java 应用带来了极高的风险。这种漏洞只在很短的时间内取得了广泛的曝光并被许多厂家和组织重视。实现升级或其他针对措施将能够在很大程度上降低漏洞造成的风险。