【安全风险通告】Apache Log4j任意代码执行漏洞安全风险通告

admin 2021年12月10日00:44:17安全漏洞评论585 views1508字阅读5分1秒阅读模式
此处为隐藏的内容!
登录后方可查看!
【安全风险通告】Apache Log4j任意代码执行漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。

风险通告

日,奇安信CERT监测到Apache Log4j任意代码执行漏洞。Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。鉴于此漏洞危害较大,建议客户尽快采取措施防护此漏洞。

当前漏洞状态

 

细节是否公开

PoC状态

EXP状态

在野利用

已公开

已公开

已发现

 

漏洞描述

Apache Log4j 是 Apache 的一个开源项目,Apache log4j-2 是 Log4j 的升级,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。

 

近日,奇安信CERT监测到Apache Log4j任意代码执行漏洞。Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。鉴于此漏洞危害较大,建议客户尽快采取措施防护此漏洞。

Apache Log4j 任意代码执行漏洞

漏洞名称

Apache Log4j 任意代码执行漏洞

漏洞类型

代码执行

风险等级

紧急

漏洞ID

暂无

公开状态

已发现

在野利用

已发现

漏洞描述

Apache Log4j 是 Apache 的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

参考链接

https://github.com/apache/logging-log4j2

奇安信 CERT 第一时间分析并复现了该漏洞,复现截图如下:

【安全风险通告】Apache Log4j任意代码执行漏洞安全风险通告

风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)
 
影响范围

Log4j -2<= 2.14.1

处置建议

请联系厂商获取修复后的官方版本:

https://github.com/apache/logging-log4j2

已发现官方修复代码,目前尚未正式发布:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

或采用奇安信解决方案来防护此漏洞。

产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对Log4j任意代码执行漏洞的防护。

奇安信网神智慧防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2112092130” 及以上版本并启用规则ID: 4347001进行检测。

奇安信开源卫士已更新

奇安信开源卫士20211209.907版本已支持对Log4j 任意代码执行漏洞的检测。

参考资料

[1] https://github.com/apache/logging-log4j2

[2] https://github.com/apache/logging-log4j2/commit/7fe72d6

 
时间线

2021年12月09日,奇安信 CERT发布安全风险通告

点击阅读原文到奇安信NOX-安全监测平台查询更多漏洞详情

【安全风险通告】Apache Log4j任意代码执行漏洞安全风险通告
奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓

原文始发于微信公众号(奇安信 CERT):【安全风险通告】Apache Log4j任意代码执行漏洞安全风险通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月10日00:44:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【安全风险通告】Apache Log4j任意代码执行漏洞安全风险通告 https://cn-sec.com/archives/668813.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: