突发,Log4j2 爆出远程代码执行漏洞,各大厂纷纷中招!
今日推薦
近日,網(wǎng)絡(luò)上出現(xiàn) Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用該漏洞構(gòu)造特殊的數(shù)據(jù)請(qǐng)求包,最終觸發(fā)遠(yuǎn)程代碼執(zhí)行。由于該漏洞影響范圍極廣,建議廣大用戶(hù)及時(shí)排查相關(guān)漏洞,經(jīng)過(guò)白帽匯安全研究院分析確認(rèn),目前市面有多款流行的系統(tǒng)都受影響。
log4j作為眾多軟件廣泛引入的類(lèi)庫(kù),漏洞影響范圍太大了,據(jù)說(shuō)各大廠程序員半夜被叫起來(lái)加班加點(diǎn)修復(fù)。
漏洞描述
Apache Log4j2 是一個(gè)基于 Java 的日志記錄工具。該工具重寫(xiě)了 Log4j 框架,并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開(kāi)發(fā),用來(lái)記錄日志信息。
在大多數(shù)情況下,開(kāi)發(fā)者可能會(huì)將用戶(hù)輸入導(dǎo)致的錯(cuò)誤信息寫(xiě)入日志中。攻擊者利用此特性可通過(guò)該漏洞構(gòu)造特殊的數(shù)據(jù)請(qǐng)求包,最終觸發(fā)遠(yuǎn)程代碼執(zhí)行。
該漏洞危害等級(jí):嚴(yán)重
影響范圍
2.0 <= Apache log4j2 <= 2.14.1
影響判斷方式:用戶(hù)只需排查Java應(yīng)用是否引入 log4j-api , log4j-core 兩個(gè)jar。若存在應(yīng)用使用,極大可能會(huì)受到影響。
漏洞復(fù)現(xiàn)
Vulfocus 靶場(chǎng)環(huán)境
目前 Vulfocus 已經(jīng)集成 Log4j2 環(huán)境,可通過(guò)以下鏈接啟動(dòng)環(huán)境測(cè)試:
http://vulfocus.fofa.so/#/dashboard?image_id=3b8f15eb-7bd9-49b2-a69e-541f89c4216c
也可通過(guò)?docker pull vulfocus/log4j2-rce-2021-12-09:latest?拉取本地環(huán)境運(yùn)行。
修復(fù)建議
1、排查應(yīng)用是否引入了Apache Log4j2 Jar包,若存在依賴(lài)引入,則可能存在漏洞影響。請(qǐng)盡快升級(jí)Apache Log4j2所有相關(guān)應(yīng)用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、升級(jí)已知受影響的應(yīng)用及組件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
快看看你們中招沒(méi)~~
參考
[1] https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
[2] [LOG4J2-3201] Limit the protocols jNDI can use and restrict LDAP. - ASF JIRA (apache.org)
[3] ASF Git Repos - logging-log4j2.git/blob - log4j-core/src/test/java/org/apache/logging/log4j/core/lookup/JndiRestrictedLookupTest.java
推薦文章1、一款高顏值的 SpringBoot+JPA 博客項(xiàng)目2、超優(yōu) Vue+Element+Spring 中后端解決方案3、推薦幾個(gè)支付項(xiàng)目!4、推薦一個(gè) Java 企業(yè)信息化系統(tǒng)5、一款基于 Spring Boot 的現(xiàn)代化社區(qū)(論壇/問(wèn)答/社交網(wǎng)絡(luò)/博客)總結(jié)
以上是生活随笔為你收集整理的突发,Log4j2 爆出远程代码执行漏洞,各大厂纷纷中招!的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 有了 for (;;) 为什么还需要
- 下一篇: 高并发和分布式中的幂等处理