漏洞概述
近日,WebRAY安全服務(wù)部監(jiān)測到Apache Log4j2存在遠程代碼執(zhí)行漏洞�,通過構(gòu)造惡意的代碼即可利用該漏洞,從而導致服務(wù)器權(quán)限丟失�����。由于該漏洞危害較大,盛邦安全建議相關(guān)用戶及時采取安全措施阻止漏洞攻擊�����。
Log4j是Apache的一個開源項目�����,通過使用Log4j����,可以控制日志信息輸送的目的地是控制臺、文件��、GUI組件��,甚至是套接口服務(wù)器�����、NT的事件記錄器����、UNIX Syslog守護進程等;也可以控制每一條日志的輸出格式����;通過定義每一條日志信息的級別���,能夠更加細致地控制日志的生成過程,這些可以通過一個配置文件來靈活地進行配置�����,而不需要修改應(yīng)用的代碼����。
Apache Log4j2是 Log4j的升級版本�����,該版本與之前的log4j1.x相比帶來了顯著的性能提升�����,并且修復(fù)一些存在于Logback中固有的問題的同時提供了很多在Logback中可用的性能提升�����,Apache Struts2��、Apache Solr、Apache Druid�、Apache Flink等均受影響。
我司對該漏洞進行復(fù)現(xiàn)并確認漏洞存在�����,目前Log4j 2.15.0-rc1補丁已被繞過����,建議升級至Log4j 2.15.0-rc2,WebRAY 安全服務(wù)部也將持續(xù)關(guān)注該漏洞進展���,及時為您更新該漏洞信息����。
影響范圍
Apache Log4j 2.x <2.15.0-rc2版本均受此漏洞的影響����,目前已有超過6,910個框架或組件使用了Apache Log4j。
漏洞等級
WebRAY安全服務(wù)部風險評級:嚴重
自查方案
檢查本地應(yīng)用是否存在log4j組件��,若存在����,可通過查看log4j-core包或log4j-api包中pom.xml查看具體使用版本���,若版本號為小于2.15.0,則存在該漏洞�����。目前l(fā)og4j-2.15.0-rc1可被繞過��,建議從官方下載2.15.0-rc2版本替換����。
修復(fù)建議
1、官方補?��。篽ttps://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2��、升級其他涉及到的通用組件,例如Apache Struts2�����、Apache Solr等����。
安全防護/檢測措施
1)安全防護:
目前盛邦安全防護類產(chǎn)品已經(jīng)支持對漏洞的防御����,WAF攔截效果如下圖所示:
2)安全檢測
可通過盛邦安全檢測類產(chǎn)品進行漏洞安全檢測����,掃描器產(chǎn)品檢測規(guī)則如下:
3)Apache Log4j2 遠程代碼執(zhí)行漏洞自檢工具
工具下載鏈接:https://github.com/webraybtl/Log4j
掃碼入群獲取更多技術(shù)支持
↓
如進群遇到問題,可添加小助手微信
↓
