凉山特产网 加入收藏  -  设为首页
您的位置:梁山特产网 > 知识百科 > 正文
烽火狼烟丨Apache Log4j2拒绝服务攻击(CVE45105)漏洞通告
烽火狼烟丨Apache Log4j2拒绝服务攻击(CVE45105)漏洞通告
提示:

烽火狼烟丨Apache Log4j2拒绝服务攻击(CVE45105)漏洞通告

漏洞概述 近日,WebRAY安全服务部监测到编号为:CVE-2021-45105的Apache Log4j2拒绝服务攻击漏洞,当系统日志配置使用非默认的模式布局和上下文查找时,攻击者可以通过构造包含递归查找数据包的方式,控制线程上下文映射 (MDC),导致StackOverflowError产生并终止进程,实现拒绝服务攻击。目前只有log4j-core JAR 文件受此漏洞影响。仅使用log4j-api JAR文件而不使用log4j-core JAR文件的应用程序不受此漏洞的影响。 Apache Log4j2是Log4j的升级版本,该版本与之前的log4j1.x相比带来了显著的性能提升,并且修复一些存在于Logback中固有的问题的同时提供了很多在Logback中可用的性能提升,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 影响范围 漏洞等级 WebRAY安全服务部风险评级:高危 修复建议 1、官方已发布安全版本,请及时下载更新,下载地址: https://github.com/apache/logging-log4j2/tags 2、临时缓解措施: 在日志记录配置的PatternLayout中,用线程上下文映射模式(%X、%mdc或%MDC)替换${ctx:loginId} 、${ctx:loginId} 等涉及上下文查找的内容。当所使用诸如HTTP标头或用户输入等应用程序外部的数据时,可以删除对上下文查找的引用。

警惕!Apache Log4j任意代码执行漏洞正被广泛利用
提示:

警惕!Apache Log4j任意代码执行漏洞正被广泛利用

漏洞名称: Apache Log4j任意代码执行漏洞 漏洞性质: 任意代码执行 漏洞描述: Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。log4j2是全球使用广泛的java日志框架,同时该漏洞还影响很多全球使用量的Top序列的通用开源组件,例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。 漏洞危害: Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据被日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码,可能对用户造成不可挽回的损失。 危害等级:严重 漏洞复现: 影响版本: Apache Log4j 2.x <= 2.14.1 临时修复方案: 1.修改jvm参数 -Dlog4j2.formatMsgNoLookups=true 2.修改配置 log4j2.formatMsgNoLookups=True 3.将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true 修复建议: 1、厂商已发布升级修复漏洞,用户请尽快更新至安全版本:log4j-2.15.0-rc1 下载链接: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1 2、升级已知受影响的应用及组件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid 3、手动替换 log4j2 版本为 2.15.1-SNAPSHOT log4j-core: https://repository.apache.org/content/groups/snapshots/org/apache/logging/log4j/log4j-core/2.15.1-SNAPSHOT/log4j-core-2.15.1-20211209.191737-4.jar log4j-api: https://repository.apache.org/content/groups/snapshots/org/apache/logging/log4j/log4j-api/2.15.1-SNAPSHOT/log4j-api-2.15.1-20211209.191737-4.jar log4j-slf4j18-impl: https://repository.apache.org/content/groups/snapshots/org/apache/logging/log4j/log4j-slf4j18-impl/2.15.1-SNAPSHOT/log4j-slf4j18-impl-2.15.1-20211209.191737-4.jar 4、做好资产自查以及预防工作,以免遭受黑客攻击