• 分类3000+
  • 产品3000+
  • 服务3000+
  • 厂商3000+
  • 用户3000+
  • 数字化疑难问题
    大家一起去解决
教育数字化知识图谱

登录查询教育数字化知识信息

打开微信扫一扫

海贝达科技(北京)有限公司 教育数字化知识图谱

资讯

共计40265条
首页 资讯 关于开源日志框架Apache Log4j2远程代码执行漏洞的风险提示

关于开源日志框架Apache Log4j2远程代码执行漏洞的风险提示

【漏洞描述】:

Apache Log4j 2是一款开源的Java的日志记录工具,大量的业务框架都使用了该组件。

近日, Apache Log4j的远程代码执行最新漏洞细节被公开,攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码。可导致服务器被黑客控制,从而进行页面篡改、数据窃取、挖矿、勒索等行为。

【风险等级】:紧急

此次漏洞是用于Log4j2提供的lookup功能造成的,Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码, 鉴于此漏洞危害巨大,利用门槛极低,建议用户尽快参考缓解方案阻止漏洞攻击。

【影响范围】:Java类产品:Apache Log4j 2.x <= 2.14.1 可能的受影响应用及组件(包括但不限于)如下:

  • Spring-Boot-strater-log4j2

  • Apache Struts2

  • Apache Solr

  • Apache Flink

  • Apache Druid

  • ElasticSearch

  • flume

  • dubbo

  • Redis

  • logstash

  • kafka

更多组件可参考如下链接:

https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1

【补救措施】

(1) 修改jvm参数-Dlog4j2.formatMsgNoLookups=true

(2) 修改配置log4j2.formatMsgNoLookups=True

(3) 将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

【检测攻击】

可以通过检查日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。

【修复建议】

目前漏洞POC已被公开,官方已发布安全版本,建议使用Java开发语言的系统尽快确认是否使用Apache Log4j 2插件。禁止使用log4j服务器外连,升级idk 11.0.1 8u191 7u201 6u211或更高版本。

请尽快升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

各单位可参考国家计算机网络应急技术处理协调中心编撰的《Apache Log4j2远程代码执行漏洞排查及修复手册》进行漏洞处置和安全加固工作。 https://www.cnvd.org.cn/webinfo/show/7146


海贝达科技(北京)有限公司 教育数字化知识图谱

微信公众号

咨询顾问

Copyright@2024 EduDigital123.COM 教育数字化知识图谱
京公网安备11011502038001 京ICP备2024042673号-3