风险通告
近日,奇安信CERT监测到Apache Log4j任意代码执行漏洞。Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。鉴于此漏洞危害较大,建议客户尽快采取措施防护此漏洞。
当前漏洞状态
|
细节是否公开 |
PoC状态 |
EXP状态 |
在野利用 |
|
是 |
已公开 |
已公开 |
已发现 |
Apache Log4j 是 Apache 的一个开源项目,Apache log4j-2 是 Log4j 的升级,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
近日,奇安信CERT监测到Apache Log4j任意代码执行漏洞。Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。鉴于此漏洞危害较大,建议客户尽快采取措施防护此漏洞。
Apache Log4j 任意代码执行漏洞
|
漏洞名称 |
Apache Log4j 任意代码执行漏洞 |
||||
|
漏洞类型 |
代码执行 |
风险等级 |
紧急 |
漏洞ID |
暂无 |
|
公开状态 |
已发现 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Apache Log4j 是 Apache 的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://github.com/apache/logging-log4j2 |
|||||
奇安信 CERT 第一时间分析并复现了该漏洞,复现截图如下:
Log4j -2<= 2.14.1
请联系厂商获取修复后的官方版本:
https://github.com/apache/logging-log4j2
已发现官方修复代码,目前尚未正式发布:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
或采用奇安信解决方案来防护此漏洞。
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全面支持对Log4j任意代码执行漏洞的防护。
奇安信网神智慧防火墙产品防护方案
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2112092130” 及以上版本并启用规则ID: 4347001进行检测。
奇安信开源卫士已更新
奇安信开源卫士20211209.907版本已支持对Log4j 任意代码执行漏洞的检测。
[2] https://github.com/apache/logging-log4j2/commit/7fe72d6
2021年12月09日,奇安信 CERT发布安全风险通告
原文始发于微信公众号(奇安信 CERT):【安全风险通告】Apache Log4j任意代码执行漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论