12月14日,Apache Log4j 2精英团队公布了Log4j 2.16.0以修补这种漏洞。在补丁包运用以前,全部目前的Apache Log4j运作网络服务器都将变成网络黑客的不确定性总体目标。微软公司最近更新了防止、检验和处理Log4j 2漏洞的手册,向客户得出了处理和防止计划方案。
据微软公司称,攻击者已经积极主动利用Log4j漏洞,并且在12月的最终几个星期,利用的试着依然许多。微软公司提及,很多原有的攻击者在她们原有的恶意程序工具箱和战略中提高了对这种漏洞的利用,扩张利用Log4j漏洞的可能非常大。
微软公司为客户公布了下列具体指导:
- 激励客户利用脚本制作和扫描工具来分析其风险性和危害。
- 微软公司早已观查到攻击者应用很多同样的库存量技术性来精准定位总体目标。早已观查到比较复杂的敌人(如国家适用的网络黑客个人行为者)和尝试以进攻牟取暴利者都是在利用这种漏洞。
- 微软公司提议客户对发觉有漏洞的机器设备开展附加核查。
- 客户应当认识到漏洞编码和扫描仪作用的普遍易用性对她们的自然环境是一个真真正正的和实际的风险。
- 因为受影响的手机软件和服务项目许多,并且充分考虑升级的速率,预估这将有一个较长的弥补全过程,一段时间内必须对该漏洞进行不断不停的当心。