【漏洞处置方案】Apache Log4j2远程代码执行漏洞&对外技术支持服务
2021-12-13 11:30:22 Author: www.4hou.com(查看原文) 阅读量:28 收藏

漏洞描述

Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限。

漏洞编号

CNVD-2021-95914

影响范围

Apache Log4j 2.x <= 2.15.0-rc1(据悉,官方rc1补丁有被绕过的风险)

经火线安全团队验证,可能受影响的应用不限于以下内容(漏洞攻击面可能会逐步扩散到基础开源软件、客户端软件等更多资产面):

Spring-Boot-strater-log4j2

Apache Struts2

Apache Solr

Apache Druid

Apache Flink

ElasticSearch

Flume

Dubbo

Jedis

Logstash

Kafka

漏洞复现

2021年12月10日,火线安全平台安全专家第一时间复现上述漏洞,复现过程如下:

新建一个Maven项目,在pom.xml导入即可

修复建议

1、使用火线安全的洞态IAST进行检测 --》DongTai-IAST(https://dongtai.io)

2、检查pom.xml是否存在log4j版本 2.0<= 2.14.1

3、当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。

链接:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

4、临时性缓解措施(任选一种)

  • 在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true

  • 系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

  • 建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本

  • 创建“log4j2.component.properties”文件,文件中增加配置“log4j2.formatMsgNoLookups=true”

  • 限制受影响应用对外访问互联网

  • WAF添加漏洞攻击代码临时拦截规则。

参考资料

https://www.cnvd.org.cn/webinfo/show/7116

https://github.com/apache/logging-log4j2

https://github.com/apache/logging-log4j2/commit/7fe72d6

https://www.lunasec.io/docs/blog/log4j-zero-day/

持续更新:https://i0x0fy4ibf.feishu.cn/docs/doccn0nmfQrC2MyrQyKU75uImWc#

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/NWjm
如有侵权请联系:admin#unsafe.sh