近日,海峽信息安全威脅情報中心監(jiān)測到Apache Log4j2被曝存在遠程代碼執(zhí)行漏洞,漏洞利用成功將導致用戶應用系統(tǒng)及服務器系統(tǒng)被控制。
一、漏洞描述
Apache Log4j2是一個基于Java的日志記錄工具,是Log4j的升級,在其前身Log4j 1.x基礎上提供了Logback中可用的很多優(yōu)化,同時修復了Logback架構中的一些問題,是目前最優(yōu)秀的Java日志框架之一。該日志框架被大量用于業(yè)務系統(tǒng)開發(fā),用來記錄日志信息。開發(fā)者可能會將用戶輸入造成的錯誤信息寫入日志中。
由于Apache Log4j 2某些功能存在遞歸解析功能,攻擊者可直接構造惡意請求,觸發(fā)遠程代碼執(zhí)行漏洞。觸發(fā)條件為只要外部用戶輸入的數(shù)據(jù)會被日志記錄,即可造成遠程代碼執(zhí)行。
二、影響范圍
Apache Log4j 2.x <= 2.14.1
三、安全防范建議
海峽信息提醒各相關單位和用戶要強化風險意識,切實加強安全防范:
1、目前海峽態(tài)勢感知、防火墻、IPS等安全設備規(guī)則已支持該漏洞攻擊及相關漏洞的檢測,請相關用戶及時升級設備安全規(guī)則,相關特征庫已發(fā)布到官網(wǎng)http://sec-cctv.net/Technical/upgrade.html
2、建議排查Java應用是否引入log4j-api , log4j-core 兩個jar,若存在使用,極大可能會受到影響,如圖:
1、升級官方補?。ㄈ粲懈掳姹窘ㄗh升級到最新),見
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、臨時解決方案
設置jvm參數(shù) “-Dlog4j2.formatMsgNoLookups=true”,
設置“l(fā)og4j2.formatMsgNoLookups=True”,
將系統(tǒng)環(huán)境變量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設置為“true”,
關閉相關應用的網(wǎng)絡外連,禁止主動外連。
返回頂部