压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近日，一個Apache Log4j2反序列化遠程代碼執(zhí)行漏洞細節(jié)被公開。由于Apache Log4j2某些功能存在遞歸解析功能，攻擊者可直接構(gòu)造惡意請求，觸發(fā)遠程代碼執(zhí)行漏洞。

騰訊安全專家表示，Apache Log4j2是一個基于Java的日志記錄工具，因該組件利用門檻很低，使用范圍廣，所以危害極大。攻擊者利用漏洞可以執(zhí)行任意代碼，完全控制服務(wù)器；在極端情況下，可下載運行勒索軟件，建議所有用戶盡快升級到安全版本。

漏洞公開后，騰訊安全專家第一時間對該漏洞進行復(fù)現(xiàn)驗證。目前，騰訊T-Sec Web應(yīng)用防火墻（WAF）、騰訊T-Sec高級威脅檢測系統(tǒng)（NDR、御界）、騰訊T-Sec云防火墻都可幫助企業(yè)檢測攔截利用Apache?Log4j2遠程代碼執(zhí)行漏洞的攻擊活動。

?

• 騰訊T-Sec Web應(yīng)用防火墻（WAF）、騰訊T-Sec高級威脅檢測系統(tǒng)（NDR、御界）、騰訊T-Sec云防火墻已支持檢測攔截利用Apache Log4j2遠程代碼執(zhí)行漏洞的攻擊活動。

2、騰訊T-Sec主機安全（云鏡）、騰訊容器安全服務(wù)（TCSS）已支持檢測企業(yè)資產(chǎn)（主機、容器及鏡像）是否存在Apache?Log4j2遠程代碼執(zhí)行漏洞。

騰訊安全專家還指出，Apache Log4j2遠程代碼執(zhí)行漏洞影響范圍大，牽涉范圍廣，升級代價也較大大，企業(yè)可以采取緩解措施降低風險。

緩解措施：

• jvm參數(shù) -Dlog4j2.formatMsgNoLookups=true
• formatMsgNoLookups=True