股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告
安(ān)全通告
紧急!“无门槛”利用(yòng),Apache Log4j-2 任意代码执行漏洞通告
发布时间 :2021年12月10日
分(fēn)享:
漏洞描述
2021年12月9日,亚信安(ān)全 CERT监测发现 Apache Log4j-2任意代码执行漏洞相关利用(yòng)PoC在互联网公(gōng)开。由于Apache Log4j-2中(zhōng)存在JNDI注入漏洞,程序将用(yòng)户输入的数据进行日志(zhì)记录时即可(kě)触发该漏洞并可(kě)在目标服務(wù)器上执行任意代码。
目前官方已提供修复补丁,鉴于该漏洞受影响面广大(Apache Struts2、Solr、Flink、Druid等众多(duō)组件与大型应用(yòng)均受影响),亚信安(ān)全CERT建议使用(yòng)Apache Log4j-2的用(yòng)户尽快采取相关措施。
Apache Log4j-2 是美國(guó)阿帕奇(Apache)公(gōng)司的基于Apache Log4j框架进行重构和升级,引入了大量丰富的特性,可(kě)以控制日志(zhì)信息输送的目的地為(wèi)控制台、文(wén)件、GUI组件等,并通过定义每一条日志(zhì)信息的级别,使其能(néng)更加细致地控制日志(zhì)的生成过程。
漏洞编号
暂未分(fēn)配 CVE 编号
漏洞等级
紧急
复现截图
漏洞状态
受影响的版本
Apache Log4j-2 <= 2.14.1
亚信安(ān)全产(chǎn)品解决方案
亚信安(ān)全信桅深度威胁发现设备TDA产(chǎn)品6.0及以上版本请及时更新(xīn)NetStack引擎PTN版本至NSP$1000.086;
亚信安(ān)全信舱DS产(chǎn)品不同版本的定制dpi规则请联系网络威胁服務(wù)部或官网800電(diàn)话;
修复建议
鉴于官方发布的2.15.0-rc1存在绕过,请尽快升级至2.15.0-rc2版。
临时性缓解措施
在jvm启动参数中(zhōng)添加 -Dlog4j2.formatMsgNoLookups=true
在classpath下创建"log4j2.component.properties"配置文(wén)件并增加配置"log4j2.formatMsgNoLookups=true"
系统环境变量中(zhōng)将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置為(wèi)true
参考链接
https://github.com/apache/logging-log4j2
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
分(fēn)享到微信
X