0x00 漏洞概述
|
CVE ID |
时 间 |
2021-12-9 |
|
|
类 型 |
RCE |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
|
|
攻击复杂度 |
低 |
可用性 |
|
|
用户交互 |
所需权限 |
||
|
PoC/EXP |
已公开 |
在野利用 |
是 |
0x01 漏洞详情
Apache Log4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。
12月9日,启明星辰安全应急响应中心监测到网上披露Apache Log4j2 存在远程代码执行漏洞,该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
目前已知受影响的应用和组件:Apache Solr、Apache Flink、Apache Druid、srping-boot-strater-log4j2等,更多信息可参考下面的地址:
https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1
影响范围
经验证2.15.0-rc1可被绕过,实际受影响的版本为:
ApacheLog4j 2.x < 2.15.0-rc2
0x02 处置建议
强烈建议受影响用户升级到log4j-2.15.0-rc2。相关用户可参考启明星辰WAF、IPS、TAR、CSP、IDS、CS、APT等产品相关的解决方案。
下载链接:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
临时方案:
-
建议JDK使用6u211、7u201、8u191、11.0.1及以上的版本;
-
添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true;
-
添加log4j2.component.properties配置文件,增加如下内容为:log4j2.formatMsgNoLookups=true;
-
系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true;
-
禁止安装log4j的服务器访问外网,并在边界对dnslog相关域名访问进行检测。
0x03 参考链接
https://github.com/apache/logging-log4j2
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
0x04 更新版本
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2021-12-9 |
首次发布 |
|
V2.0 |
2021-12-10 |
修改细节 |
|
V3.0 |
2021-12-10 |
修改bug |
0x05 关于我们
原文始发于微信公众号(维他命安全):【漏洞通告】Apache Log4j2远程代码执行漏洞【更新】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论