【漏洞处置方案】Apache Log4j2远程代码执行漏洞&对外技术支持服务 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

【漏洞处置方案】Apache Log4j2远程代码执行漏洞&对外技术支持服务

嘶吼用户KvR8 漏洞 2021-12-13 10:30:22
收藏

导语:昨日,Apache Log4j2 成为知名漏洞,其危害性使得该漏洞吸引了安全圈所有人的目光。火线安全为防止其继续扩大影响范围,特发布针对该漏洞的处置方案。

漏洞描述

Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限。

漏洞编号

CNVD-2021-95914

影响范围

Apache Log4j 2.x <= 2.15.0-rc1(据悉,官方rc1补丁有被绕过的风险)

经火线安全团队验证,可能受影响的应用不限于以下内容(漏洞攻击面可能会逐步扩散到基础开源软件、客户端软件等更多资产面):

Spring-Boot-strater-log4j2

Apache Struts2

Apache Solr

Apache Druid

Apache Flink

ElasticSearch

Flume

Dubbo

Jedis

Logstash

Kafka

漏洞复现

2021年12月10日,火线安全平台安全专家第一时间复现上述漏洞,复现过程如下:

新建一个Maven项目,在pom.xml导入即可

修复建议

1、使用火线安全的洞态IAST进行检测 --》DongTai-IAST(https://dongtai.io)

2、检查pom.xml是否存在log4j版本 2.0<= 2.14.1

3、当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。

链接:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

4、临时性缓解措施(任选一种)

  • 在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true

  • 系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

  • 建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本

  • 创建“log4j2.component.properties”文件,文件中增加配置“log4j2.formatMsgNoLookups=true”

  • 限制受影响应用对外访问互联网

  • WAF添加漏洞攻击代码临时拦截规则。

参考资料

https://www.cnvd.org.cn/webinfo/show/7116

https://github.com/apache/logging-log4j2

https://github.com/apache/logging-log4j2/commit/7fe72d6

https://www.lunasec.io/docs/blog/log4j-zero-day/

持续更新:https://i0x0fy4ibf.feishu.cn/docs/doccn0nmfQrC2MyrQyKU75uImWc#

如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论