近日,海峽信息安全威脅情報中(zhōng)心監測到Apache Log4j2被曝存在遠程代碼執行漏洞,漏洞利用成功将導緻用戶應用系統及服務器系統被控制。
一(yī)、漏洞描述
Apache Log4j2是一(yī)個基于Java的日志(zhì)記錄工(gōng)具,是Log4j的升級,在其前身Log4j 1.x基礎上提供了Logback中(zhōng)可用的很多優化,同時修複了Logback架構中(zhōng)的一(yī)些問題,是目前最優秀的Java日志(zhì)框架之一(yī)。該日志(zhì)框架被大(dà)量用于業務系統開(kāi)發,用來記錄日志(zhì)信息。開(kāi)發者可能會将用戶輸入造成的錯誤信息寫入日志(zhì)中(zhōng)。
由于Apache Log4j 2某些功能存在遞歸解析功能,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞。觸發條件爲隻要外(wài)部用戶輸入的數據會被日志(zhì)記錄,即可造成遠程代碼執行。
二、影響範圍
Apache Log4j 2.x <= 2.14.1
三、安全防範建議
海峽信息提醒各相關單位和用戶要強化風險意識,切實加強安全防範:
1、目前海峽态勢感知(zhī)、防火(huǒ)牆、IPS等安全設備規則已支持該漏洞攻擊及相關漏洞的檢測,請相關用戶及時升級設備安全規則,相關特征庫已發布到官網upgrade.html
2、建議排查Java應用是否引入log4j-api , log4j-core 兩個jar,若存在使用,極大(dà)可能會受到影響,如圖:
1、升級官方補丁(若有更新版本建議升級到最新),見
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、臨時解決方案
設置jvm參數 “-Dlog4j2.formatMsgNoLookups=true”,
設置“log4j2.formatMsgNoLookups=True”,
将系統環境變量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設置爲“true”,
關閉相關應用的網絡外(wài)連,禁止主動外(wài)連。
返回頂部