新聞:https://view.inews.qq.com/a/20211210A05KTY00
簡介:
Apache Log4j2是一款優秀的Java日志框架,2021年11月24日,阿里云安全團隊向Apache官方報告了Apache Log4j2遠程代碼執行漏洞,
由于Apache Log4j2某些功能存在遞回決議功能,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞,漏洞利用無需特殊
配置,經阿里云安全團隊驗證
Apache Struts2、 Apache Solr. Apache Druid、 Apache Flink等均受影響,阿里云應急回應中心提醒Apache Log4j2 用戶盡快采取安全措施阻止
屬洞攻擊,
其他文章
Apache Shiro Java 反序列化漏洞解決修復記錄
正文:
修復方式:
參考鏈接
https://github.com/apache/logging-log4j2
https://repository.apache.org/service/local/repositories/releases/content/org/apache/logging/log4j/log4j-core/2.15.0/log4j-core-2.15.0.jar
其余文字
Apache Log4j 2 被披露出存在嚴重代碼執行漏洞,目前官方還沒有正式發布安全公告及版本,漏洞被利用可導致服務器被入侵等危害,
為避免您的業務受影響,天寂云建議您及時開展安全自查,如在受影響范圍,請您及時進行更新修復,避免被外部攻擊者入侵,
漏洞詳情
Apache Log4j 2是一個開源的日志記錄組件,使用非常的廣泛,在工程中以易用方便代替了 System.out 等列印陳述句,它是JAVA下最流行的日志輸入工具,
使用 Log4j 2 在一定場景條件下處理惡意資料時,可能會造成注入類代碼執行,
由于Log4j2 作為日志記錄基礎第三方庫,被大量Java框架及應用使用,只要用到 Log4j2 進行日志輸出且日志內容能被攻擊者部分可控,即可能會受到漏洞攻擊影響,因此,該漏洞也同時影響全球大量通用應用及組件,例如 :
Apache Struts2
Apache Solr
Apache Druid
Apache Flink
Apache Flume
Apache Dubbo
Apache Kafka
Spring-boot-starter-log4j2
ElasticSearch
Redis
Logstash
…
建議及時檢查并升級所有使用了 Log4j 組件的系統或應用,
風險等級
高風險
漏洞風險
攻擊者利用該漏洞可導致任意代碼執行
影響版本
Apache log4j2 >= 2.0, <= 2.14.1
安全版本
暫無
修復建議
官方已暫未發布正式漏洞補丁及修復版本,請密切關注官方最新版本發布,并關注服務器的例外行為,
用戶可排查Java應用是否引入 log4j-api , log4j-core 兩個jar包,如有使用可考慮使用如下官方臨時補丁進行修復:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
其他臨時緩解措施:
- 禁止沒有必要的業務訪問外網,
- 設定jvm引數 “-Dlog4j2.formatMsgNoLookups=true”
- 設定“log4j2.formatMsgNoLookups=True”
- 系統環境變數“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設定為“true”
【備注】:建議您在升級前做好資料備份作業,避免出現意外
漏洞參考
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/379402.html
標籤:其他
上一篇:Log4j2漏洞執行