漏洞概述
近日��,WebRAY安全服務(wù)部監(jiān)測到Apache Log4j2存在遠(yuǎn)程代碼執(zhí)行漏洞��,通過構(gòu)造惡意的代碼即可利用該漏洞��,從而導(dǎo)致服務(wù)器權(quán)限丟失���。由于該漏洞危害較大,盛邦安全建議相關(guān)用戶及時(shí)采取安全措施阻止漏洞攻擊�。
Log4j是Apache的一個(gè)開源項(xiàng)目,通過使用Log4j�����,可以控制日志信息輸送的目的地是控制臺��、文件���、GUI組件�,甚至是套接口服務(wù)器����、NT的事件記錄器�、UNIX Syslog守護(hù)進(jìn)程等�����;也可以控制每一條日志的輸出格式���;通過定義每一條日志信息的級別�,能夠更加細(xì)致地控制日志的生成過程��,這些可以通過一個(gè)配置文件來靈活地進(jìn)行配置����,而不需要修改應(yīng)用的代碼。
Apache Log4j2是 Log4j的升級版本�,該版本與之前的log4j1.x相比帶來了顯著的性能提升,并且修復(fù)一些存在于Logback中固有的問題的同時(shí)提供了很多在Logback中可用的性能提升��,Apache Struts2���、Apache Solr�、Apache Druid、Apache Flink等均受影響����。
我司對該漏洞進(jìn)行復(fù)現(xiàn)并確認(rèn)漏洞存在���,目前Log4j 2.15.0-rc1補(bǔ)丁已被繞過��,建議升級至Log4j 2.15.0-rc2��,WebRAY 安全服務(wù)部也將持續(xù)關(guān)注該漏洞進(jìn)展�����,及時(shí)為您更新該漏洞信息�。
影響范圍
Apache Log4j 2.x <2.15.0-rc2版本均受此漏洞的影響��,目前已有超過6,910個(gè)框架或組件使用了Apache Log4j����。
漏洞等級
WebRAY安全服務(wù)部風(fēng)險(xiǎn)評級:嚴(yán)重
自查方案
檢查本地應(yīng)用是否存在log4j組件,若存在�,可通過查看log4j-core包或log4j-api包中pom.xml查看具體使用版本,若版本號為小于2.15.0�����,則存在該漏洞。目前l(fā)og4j-2.15.0-rc1可被繞過����,建議從官方下載2.15.0-rc2版本替換。
修復(fù)建議
1���、官方補(bǔ)?����。篽ttps://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2��、升級其他涉及到的通用組件��,例如Apache Struts2�����、Apache Solr等�。
安全防護(hù)/檢測措施
1)安全防護(hù):
目前盛邦安全防護(hù)類產(chǎn)品已經(jīng)支持對漏洞的防御���,WAF攔截效果如下圖所示:
2)安全檢測
可通過盛邦安全檢測類產(chǎn)品進(jìn)行漏洞安全檢測���,掃描器產(chǎn)品檢測規(guī)則如下:
3)Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞自檢工具
工具下載鏈接:https://github.com/webraybtl/Log4j
掃碼入群獲取更多技術(shù)支持
↓
如進(jìn)群遇到問題��,可添加小助手微信
↓
