稳住！首个Apache Log4j2检测工具及全系防护建议，长亭科技免费推出

迟到但不会缺席

首个 Log4j2 漏洞检测工具上线

长亭技术人连夜加速

线上扫描+下载后本地扫描

全部支持

本地工具能够快速发现存在风险的Apache Log4j2应用版本信息。

**检测工具特点：**支持 fat jar 的场景，支持容器运行环境。

全线企业一律免费，尤其中小企业用户，欢迎自取

https://log4j2-detector.chaitin.cn/ 或者点击“阅读原文”下载

如果检测还不够，长亭还提供了基于RASP的安全防护工具。该工具通过Java进程注入技术，定位关键代码，可以给正在运行的业务打上热补丁，同样可进入链接免费获取。

Apache Log4j2远程代码执行漏洞

让安全人再次成为加班狗

编号CVE-2021-44228

时隔五年

永恒之蓝一幕再度上演

“这洞无敌了，用到这个库的基本就没了”

长亭技术群里第一句话，还没太多人在意

迅速的，长亭研究人员通过分析发现，Log4j2在进行日志记录时存在缺陷，从日志注入到代码执行，梦想照进现实！

“

利用门槛低危害严重的魔幻选手现身，打印日志的地方竟然会出这种问题？

全员迅速紧急投入

面对过于狡猾的对手

各团队技术1号位上线

开始和漏洞“捉迷藏”

完整的payload分析后

发现几乎只留下少得可怜的特征

写一次规则被绕过

再写一次

再被绕过

写 - 绕过 - 再写 - 再绕过

循环反复之间

几乎可以判定，所有规则防护全面破防

只单纯通过虚拟补丁给WAF上规则进行防护

在这个漏洞面前无异耍流氓

争分夺秒

⏰⏰ 0:10---1:04

稳了！

**在新版本补丁被绕过、大家对漏洞修复办法将信将疑的时候，**长亭安全工程师的方法，获得了官方和同行的一致认可！

至此，长亭推导出完整的、当前情况最彻底解决Log4j2的方案：

1、临时性缓解措施（任选一种，但是注意，老版本不一定支持这个选项）

在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true
系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
创建 "log4j2.component.properties" 文件，文件中增加配置 "log4j2.formatMsgNoLookups=true"

2、彻底修复漏洞

方案一：生产环境修复， https://github.com/zhangyoufu/log4j2-without-jndi 由长亭工程师提供的删除了 JndiLookup.class 的对应版本直接替换重启即可。如果不放心网上下载的版本，也可以自己手动解压删除：zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class 删除jar包里的这个漏洞相关的class，然后重启服务即可

方案二：代码研发修复，升级到官方提供的 log4j-2.15.0-rc2 版本

3、虚拟补丁文件和引擎更新文件请联系长亭科技技术支持获取

以上文字语气过于长亭的部分可忽略，重点是目前__长亭核心产品“不耍流氓的”已支持检测并防御Apache Log4j2漏洞_。_

产品支持

牧云（CloudWalker）无需更新，两步完成检测

长亭牧云（CloudWalker）主机安全管理平台，支持深度清点服务器上存在的各种软件应用，分析第三方依赖，枚举软件名称、供应商、软件分类、软件版本、软件路径等信息。在爆发 0day 时无需更新产品即可对漏洞进行针对性排查。通过资产清点，用户能快速发现现网资产是否存在Apache Log4j2，第一时间精准定位漏洞影响主机与具体路径，感知漏洞影响范围。