全球知名開源日志組件Apache Log4j被曝存在嚴重高危險級別遠程代碼執行漏洞,攻擊者可以利用該漏洞遠程執行惡意代碼,據阿里云通報,由Apache Log4j2某些功能存在遞回決議功能,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞,
該漏洞于12月7日由游戲平臺Minecraft用戶在網上曝光,據稱黑客可以通過操作日志訊息(甚至在聊天資訊中鍵入內容),并且還可以在Minecraft服務器端執行惡意代碼,Apache log4j官方在7日當天便發布2.15.0-rc1版本以修復漏洞,隨后,阿里云、斗象科技、綠盟科技、默安科技、奇安信等安全廠商發布危害通報,
目前受漏洞影響的主要是Apache Log4j 2.x <= log4j-2.15.0-rc1版本,當用戶使用Apache Log4j2來處理日志時,漏洞會對用戶輸入的內容進行特殊處理,攻擊者便可以在Apache Log4j2中構造特殊請求來觸發遠程代碼執行,
如何判斷是否受影響,開發者只需排查在Java應用中是否引入log4j-api, log4j-core兩個jar檔案,若存在,建議立即進行安全排查,采取防護措施,目前可能受影響的組件有:
Spring-Boot-strater-log4j2
Apache Solr
Apache Flink
Apache Druid
這意味著有大量的第三方應用程式也可能受到了感染與威脅,
如何修復:
盡快將Apache Log4j 2所有相關應用升級到最新的 log4j-2.15.0-rc2 版本,地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
如果無法盡快更新版本,可以通過以下方法緊急緩解:
a、修改jvm引數 -Dlog4j2.formatMsgNoLookups=true
b、修改配置:log4j2.formatMsgNoLookups=True
c、系統環境變數 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設定為true
參考鏈接:
- https://arstechnica.com/information-technology/2021/12/minecraft-and-other-apps-face-serious-threat-from-new-code-execution-bug/
- https://help.aliyun.com/noticelist/articleid/1060971232.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/379162.html
標籤:其他
上一篇:云計算基礎2-什么是云存盤?