昨日,Apache log4j披露一个远程代码执行漏洞,影响极大,敬请各位朋友告知单位,有使用的赶紧进行修复!在此也要联系安全厂家升级安全设备特征规则库。
防御该漏洞。log4j是一个日志框架。对于Java web危害极大。
听说,还没确认,刚刚自己poc确认了,spring boot只引入了log4j-slf4j是没有漏洞的,必须要有log4j-core才可以,但是spring boot的log4j的starter是影响的。因为原理是利用log4j-core下面的JndiManager的lookup方法存在的jndi注入漏洞