方方圆圆272 发表于 2024-9-10 20:03:54

关于Apache Log4j2远程代码执行漏洞的安全公告

12月10日凌晨,一个Apache Log4j2高危漏洞被公开了,这个远程代码执行漏洞堪称史诗级别的漏洞。


漏洞原理官方表述:
    Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
通俗简单的说就是:
    在打印日志的时候,如果你的日志内容中包含关键词${,攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令,最终可获得服务器的最高权限!
Apache Log4j2 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息,是目前较为优秀的Java日志框架。所以,这次漏洞爆出也波及了大量Apache其它开源产品(包括但不限于Apache Struts2、Apache Solr、Apache Druid、Apache Flink… )。


漏洞检测方案
通过流量监测设备监控是否有相关 DNSLog 域名的请求,通过监测相关日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。
漏洞修复方案
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

























临时缓解措施(任选其一)
1、在 jvm参数中添加-Dlog4j2.formatMsgNoLookups=true
2、系统环境变量中将 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
3、建议JDK使用 11.0.1、8u191、7u201、6u211 及以上的高版本
4、创建"log4j2.component.properties"文件,文件中增加配置 "log4j2.formatMsgNoLookups=true"
5、限制受影响应用对外访问互联网
6、WAF添加漏洞攻击代码临时拦截规则
页: [1]
查看完整版本: 关于Apache Log4j2远程代码执行漏洞的安全公告