关于Apache log4j存在远程代码执行漏洞的预警

关于Apache log4j存在远程代码执行漏洞的预警
12月9日晚,互联网上公开了Apache log4j2的一个严重级别的远程代码执行漏洞。由于Apache log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求触发远程代码执行漏洞,而无需特殊配置。Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受此漏洞影响。鉴于该框架应用范围极广,且漏洞利用代码已在互联网上公开,请各单位及时采取有效防护措施,防止安全事件发生。

一、漏洞描述

Apache log4j2是一款优秀的Java日志框架。该日志框架被大量用于业务系统开发时记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。但由于Apache log4j2中的某些功能允许进行递归解析,攻击者可以构造恶意代码,触发错误并将恶意代码作为错误信息写入日志,进而利用递归解析执行。该漏洞对当前几乎全部的Apache log4j2版本生效,且无需系统进行任何特殊配置,威胁性极高。

二、漏洞影响版本

Apache Log4j 2.x < 2.15.0-rc2

三、检测方法与修复建议

检测方法
排查Java应用是否存在引入log4j-api、log4j-core的情况。若存在引入,则大概率存在漏洞。漏洞本地验证POC参考地址如下:
https://github.com/tangxiaofeng7/apache-log4j-poc

修复建议
1.及时更新补丁。在漏洞曝出后,Apache官方公开了修复补丁2.15.0-rc1,但该补丁只修复了ldap利用方式,未修复rmi利用方式,不可用;后续官方再次公开修复补丁2.15.0-rc2,修复后目前无直接利用方式,但疑似未完全完成修复。采用此方法进行修复时,请后续跟进官方的相应更新进展。
补丁下载地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2.在因故不能更新版本的情况下,需采用各种临时防护措施进行加固:
(1)修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2)在应用classpath下添加 log4j2.component.properties 配置文件,其内容为log4j2.formatMsgNoLookups=true
(3)将系统环境变量
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS
设置为true
3.该漏洞公开的验证脚本中,均以dnslog.cn等部分dnslog平台作为命令执行情况验证。对于非许可范围内的访问情况提高风险防控意识。部分公共dnslog平台域名列举如下:
ceye.io
dnslog.link
dnslog.cn
dnslog.io
tu4.org
awvsscan119.autoverify.cn
burpcollaborator.net
s0x.cn

发布者:小站,转转请注明出处:http://blog.gzcity.top/4769.html

(1)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年8月3日 17:22
下一篇 2022年8月17日 14:36

相关推荐

  • 将本地jar包上传至Nexus

    其实上传jar包到Nexus有好几种方法,这里先来介绍一种比较简单的方法: 1.首先登陆私服: 2.点击左边“Repositories”,选中“3rd party” 上传本地jar包(第五步可根据需要自行修改): 2.点击头部Refresh按钮,检查是否上传成功,如下图表示上传成功: 4.本地pom.xml文件添加依赖: <dependency>…

    2022年5月16日
    13.0K26240
  • Java调用selenium爬取网页内容

    前言 Selenium Java API Docs官方文档:https://www.selenium.dev/selenium/docs/api/java/ Selenium WebDriver | Selenium 中文文档: https://wizardforcel.gitbooks.io/selenium-doc/content/official-si…

    学习笔记 2022年10月21日
    32310
  • 识别并修复 Web 应用中的 XSS 漏洞

    什么是跨站点脚本? 跨站点脚本 (XSS) 是一个代码注入漏洞,当开发人员在将用户输入插入 HTML 模板之前未对用户输入进行足够好的审查时,就会在处理 HTML 的应用程序中发生该漏洞。它允许攻击者将任意 JavaScript 代码插入模板并在用户的上下文中执行它: 在上图中,开发人员未能清理“姓氏”div 的内容,这导致用户能够通过操纵其姓氏来包含恶意脚…

    2023年6月11日
    1.1K760
  • ChatGPT对话:结婚视频制作是用了什么技术呢,有很多平台上给用户提供个视频模板,然后把自己图片上传上去就可以自动化生成一个视频,背后的技术是什么呢?

    问:结婚视频制作是用了什么技术呢,有很多平台上给用户提供个视频模板,然后把自己图片上传上去就可以自动化生成一个视频,背后的技术是什么呢?详细说明下 答:结婚视频制作通常涉及到多个技术领域,包括视频编辑、图像处理、人工智能等。在现代科技的支持下,许多平台都能够通过提供视频模板、自动化生成等方式来帮助用户制作结婚视频。 具体来说,结婚视频制作平台的背后技术主要包…

    2023年2月17日
    6.0K9880
  • 【Vue学习总结】1.Vue环境搭建、运行第一个项目

    我们来搭建Vue的运行环境,并构建一个官方实例工程运行。 我们登录Vue的官网https://cn.vuejs.org,可以看到Vue的起步按钮,其三个特色也在首页进行了标明: 一、搭建Vue的开发环境 在使用Vue之前,我们首先要搭建Vue的环境,我们点击上面的“起步”按钮,进步基础教程页面: 我们点击左侧树形菜单的“安装”,进入Vue的安装教程页面,一般…

    2022年7月6日
    37330

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

评论列表(11条)