https://mp.weixin.qq.com/s/9f1cUsc1FPIhKkl1Xe1Qvw
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。
01
漏洞描述
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。
02
漏洞评级
Apache Log4j 远程代码执行漏洞 严重
| 漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用 |
| 公开 |
公开 |
公开 |
存在 |
03
影响版本
Apache Log4j 2.x <= 2.14.1
04
安全建议
1、升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc1 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
2、升级已知受影响的应用及组件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid
06
相关链接
https://help.aliyun.com/noticelist/articleid/1060971232.html
阿里云帮助中心-阿里云,领先的云计算服务提供商 https://help.aliyun.com/noticelist/articleid/1060971232.html
【漏洞预警】Apache Log4j2 远程代码执行漏洞
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。
漏洞描述
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。
漏洞评级
Apache Log4j 远程代码执行漏洞 严重
影响版本
经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下:
Apache Log4j 2.x < 2.15.0-rc2
安全建议
1、排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
3、可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。
相关链接
1、https://github.com/apache/logging-log4j2
云盾WAF已可防护该类漏洞,并提供7天免费漏洞应急服务,为您争取漏洞修复时间,应急开通地址:https://c.tb.cn/I3.XzCtR
阿里云云安全中心应用漏洞模块已支持对该漏洞一键检测
阿里云云防火墙已可防御此漏洞攻击
我们会关注后续进展,请随时关注官方公告。
如有任何问题,可随时通过工单联系反馈。
阿里云应急响应中心
2021.12.9
Log4j反序列化远程代码执行漏洞(CVE-2019-17571) https://mp.weixin.qq.com/s/FeA5u7KmzhYPRq60uDtagg
警惕!Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持检测拦截
| 漏洞详情 | POC | EXP | 在野利用 |
| 已公开 | 已知 | 已知 | 预计很快到来 |
漏洞修复方案:Apache官方已发布补丁,腾讯安全专家建议受影响的用户尽快升级到安全版本。补丁下载地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
腾讯安全解决方案:腾讯T-Sec Web应用防火墙(WAF)、腾讯T-Sec高级威胁检测系统(NDR、御界)、腾讯T-Sec云防火墙已支持检测拦截利用Log4j2 远程代码执行漏洞的攻击活动。 参考链接:https://github.com/apache/logging-log4j2https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
Log4j反序列化远程代码执行漏洞(CVE-2019-17571) https://mp.weixin.qq.com/s/FeA5u7KmzhYPRq60uDtagg
og4j反序列化远程代码执行漏洞(CVE-2019-17571)
漏洞名称:Log4j反序列化远程代码执行漏洞(CVE-2019-17571)
威胁等级:高危
影响范围:Apache Log4j 1.2.4 - 1.2.17
漏洞类型:远程代码执行
利用难度:容易
Log4j介绍
Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地(控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等);也可以控制每一条日志的输出格式。通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
漏洞描述
Log4j存在远程代码执行漏洞,该漏洞产生的原因是SocketServer类对于监听获取到的数据并没有进行有效的安全验证,直接进行反序列化处理。攻击者可以传入恶意的序列化数据对漏洞进行利用,向服务器发起远程代码执行攻击。
搭建Log4j 1.2.17环境,使用nc向Log4j开放端口发送恶意序列化数据,效果如下:
影响范围
目前受影响的Log4j版本:
Apache Log4j 1.2.4 - 1.2.17
修复建议
1.升级到Apache Log4j 2系列最新版
2.禁止将SocketServer类所开启的socket端口暴露到互联网
深信服解决方案
【深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
注册地址:http://saas.sangfor.com.cn
【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署云端版云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。部署离线版云镜的用户需要下载离线更新包来获取该漏洞的检测能力。
【深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。