緊急!Log4j 曝核彈級漏洞;一行配置修復,速改!
目錄
- 緊急!Log4j 曝核彈級漏洞;一行配置修復,速改!
- 漏洞描述
- 漏洞評級
- 影響版本
- Spring Boot最簡修復方式
- 本次漏洞影響范圍
- 已知受影回應用及組件
- 漏洞排查方式
- 其他處理方式
- 宣告
周末快樂呀!不過看完這個,你可能就快樂不起來了,說不定還得加個班兒呢!
昨天(周五),一如既往的重復著每天的搬磚日常,突然又收到了公眾號【阿里云應急回應】緊急更新通告;為啥說又呢?因為在10個小時之前,已經推送過一次了;
本來以為只是再次提醒一下,仔細一看,發現是在短時間內爆出了連環漏洞;看樣子挺嚴重的,立馬放下手中的其他事情,重點關注了一下;
漏洞曝光的主要目的是提醒使用者盡快修復,但同時也讓那些不法份子知道了漏洞的存在,所以這種嚴重漏洞一定要引起重視!
漏洞描述
Apache Log4j2是一款優秀的Java日志框架,2021年11月24日,阿里云安全團隊向Apache官方報告了Apache Log4j2遠程代碼執行漏洞,由于Apache Log4j2某些功能存在遞回決議功能,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞,漏洞利用無需特殊配置,經阿里云安全團隊驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響,2021年12月10日,阿里云安全團隊發現 Apache Log4j 2.15.0-rc1 版本存在漏洞繞過,請及時更新至 Apache Log4j 2.15.0 版本,阿里云應急回應中心提醒 Apache Log4j2 用戶盡快采取安全措施阻止漏洞攻擊,
漏洞評級
嚴重
| 漏洞細節 | 漏洞PoC | 漏洞EXP | 在野利用 |
|---|---|---|---|
| 公開 | 公開 | 公開 | 存在 |
影響版本
Apache Log4j 2.x < 2.15.0
Spring Boot最簡修復方式
有小伙伴希望能通過Spring Boot的Starter快速解決,還給Spring Boot提了Issue,希望spring-boot-starter-log4j2能支持2.15的版本
截至目前,log4j最新的release版本2.15.0已經上線;
Spring Boot專案只需要在pom.xml檔案添加一行配置解決
<properties>
<log4j2.version>2.15.0</log4j2.version>
</properties>
本次漏洞影響范圍
已知受影回應用及組件
-
Apache Solr
-
Apache Struts2
-
Apache Flink
-
Apache Druid
-
srping-boot-strater-log4j2
-
Apache Dubbo
-
Apache Kafka
-
ElasticSearch
-
Redis
-
Logstash
…
漏洞排查方式
-
解壓Jar包,看是否存在
org/apache/logging/log4j相關結構路徑
-
依賴檢查,看是否存在以下依賴,并升級至
log4j-2.15.0及以上<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.15.0</version> </dependency> <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.15.0</version> </dependency> -
檢查日志
攻擊者在利用前通常采用dnslog方式進行掃描、探測,常見的漏洞利用方式可通過應用系統報錯日志中的”
javax.naming.CommunicationException”、”javax.naming.NamingException: problem generating object using object factory”、”Error looking up JNDI resource”關鍵字進行排查,
-
資料包
攻擊者發送的資料包中可能存在”${jndi:}” 字樣,推薦使用全流量或WAF設備進行檢索排查,
其他處理方式
- 若無必要,禁止業務對外網暴露
- 設定jvm引數 “-Dlog4j2.formatMsgNoLookups=true”
- 在設定“log4j2.formatMsgNoLookups=True”
- 系統環境變數“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設定為“true”
- 建議JDK使用11.0.1、8u191、7u201、6u211及以上的高版本
宣告
本安全公告僅用來描述可能存在的安全問題,本博主不為此安全公告提供任何保證或承諾,由于傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的后果及損失,均由使用者本人負責;作者不為此承擔任何責任,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/379403.html
標籤:其他