写点什么

Apache Log4j2 远程代码执行 漏洞

作者:try catch
  • 2021 年 12 月 10 日
  • 本文字数:653 字

    阅读完需:约 2 分钟

Apache Log4j2 远程代码执行 漏洞

1.漏洞说明

Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。


经边界无限安全攻防团队研判后,认定该漏洞影响范围极广,漏洞危害极大。


攻防团队已经成功复现此漏洞。


此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。影响版本。

2.危害级别

危害极大,影响范围极广。

3.自查方法

用户只需排查 Java 应用是否引入 log4j-api , log4j-core 两个 jar。若存在应用使用,极大可能会受到影响。

4.影响范围

Apache log4j2 在 2.0 至 2.14.1 版本均受影响。

5.解决方案

  1. 官方补丁 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

  2. 靖云甲应用安全防护模块默认防御此漏洞。

6.临时解决方案

  1. 设置 jvm 参数 “-Dlog4j2.formatMsgNoLookups=true”

  2. 设置“log4j2.formatMsgNoLookups=True”

  3. 系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

  4. 关闭对应应用的网络外连,禁止主动外连

7.特别提醒

攻击者可以通过 ssh 远程提权 shell 命令脚本,实现服务器提权。即使修复了,也要考虑,是否已经被黑了,有些黑客会在服务器中留其他漏洞!

8.参考资料

https://www.infoq.cn/article/SOQt4DKdWUi652W2CmRh

https://view.inews.qq.com/a/20211210A00E7P00

https://mp.weixin.qq.com/s/wC7mrK1Y4DYz9_yW4fLzbw

用户头像

try catch

关注

还未添加个人签名 2012.07.23 加入

百尺竿头,更进一步

评论

发布
暂无评论
Apache Log4j2 远程代码执行 漏洞