Apache Log4j2 远程代码执行 漏洞
1.漏洞说明
Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
经边界无限安全攻防团队研判后,认定该漏洞影响范围极广,漏洞危害极大。
攻防团队已经成功复现此漏洞。
此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。影响版本。
2.危害级别
危害极大,影响范围极广。
3.自查方法
用户只需排查 Java 应用是否引入 log4j-api , log4j-core 两个 jar。若存在应用使用,极大可能会受到影响。
4.影响范围
Apache log4j2 在 2.0 至 2.14.1 版本均受影响。
5.解决方案
官方补丁
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
靖云甲应用安全防护模块默认防御此漏洞。
6.临时解决方案
设置 jvm 参数 “-Dlog4j2.formatMsgNoLookups=true”
设置“log4j2.formatMsgNoLookups=True”
系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”
关闭对应应用的网络外连,禁止主动外连
7.特别提醒
攻击者可以通过 ssh 远程提权 shell 命令脚本,实现服务器提权。即使修复了,也要考虑,是否已经被黑了,有些黑客会在服务器中留其他漏洞!
8.参考资料
https://www.infoq.cn/article/SOQt4DKdWUi652W2CmRh
https://view.inews.qq.com/a/20211210A00E7P00
https://mp.weixin.qq.com/s/wC7mrK1Y4DYz9_yW4fLzbw
评论