ApacheLog4j2远程代码执行漏洞攻击代码,利用此漏洞不需要特殊配置。经多方求证,ApacheStruts2、ApacheSolr、ApacheDruid、ApacheFlink等。都受到了影响。本文将介绍解决方案。
目录
问题描述漏洞介绍临时解决方案
问题描述
12月9日晚,Apache Log4j2远程代码执行漏洞攻击代码出现。该漏洞不需要特殊的配置。经多方核实,阿帕奇Struts2、阿帕奇Solr、阿帕奇德鲁伊、阿帕奇Flink均受到影响。Apache 4J2是一个流行的Java日志框架。建议广大交易所、钱包、DeFi项目方密切关注检查是否受漏洞影响,尽快升级新版本。
Apache 4J2是一个基于Java的日志工具。这个工具重写了Log4j框架,引入了很多丰富的特性。这种日志框架在业务系统开发中广泛用于记录日志信息。在大多数情况下,开发人员可能会将用户输入导致的错误信息写入日志。该漏洞的触发条件是,只要外部用户输入的数据都会被记录,就能造成远程代码执行。
经过边界无限安全攻防小组的研判,确定该漏洞影响范围广,危害极大。
要确定影响模式,用户只需要检查Java应用是否引入了两个jar,Log4j-API和Log4j-Core。如果有应用,可能会受到很大影响。
简介
漏洞名称:Apache Log4j2远程代码执行漏洞
组件名:Apache Log4j2
版本:2.0 Apache Log4j=2.14.1
漏洞:远程代码执行
使用条件:
1.用户认证:不需要用户认证。
2.先决条件:默认配置。
3.触发模式:远程
综合评价:
综合利用难度评估:易,无授权远程代码执行。
综合威胁评级:严重,可导致远程代码执行。
临时解决方案
紧急缓解措施
(1)修改jvm参数-dlogij2。formatmsgnolookups=true
(2)修改配置log4j2。formatssgnolookups=true
(3)设置系统环境变量format _ messages _ pattern _ disable _ lookups为真
检测方案
(1)由于攻击者在攻击过程中可能会使用DNSLog进行漏洞检测,建议企业可以通过流量监控设备监控是否有对相关DNSLog域名的请求。微步在线的OneDNS也已经识别了主流的DNSLog域名,支持拦截。
(2)根据微步在线对这类漏洞的研究和积累,我们建议企业可以通过监测相关流量或日志中是否存在“jndi:ldap://”和“jndi:rmi”等字符来发现可能的攻击。
目前最新版本已经正式发布。建议受影响的用户及时更新升级到最新版本。
下载地址:release log4j-2 . 15 . 0-rc1 Apache/logging-log4j 2 github
关于最新log4j2远程代码执行漏洞的这篇文章到此为止。有关log4j2远程代码执行漏洞的更多信息,请搜索我们之前的文章或继续浏览以下相关文章。希望大家以后能多多支持我们!
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。