昨日,ApacheLog4j2成为知名漏洞,其危害性使得该漏洞吸引了安全圈所有人的目光。火线安全为防止其继续扩大影响范围,特发布针对该漏洞的处置方案。
漏洞描述
ApacheLog4j2是对Log4j的升级,它比其前身Log4j1.x提供了重大改进,并提供了Logback中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于ApacheLog4j2某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限。
漏洞编号
CNVD--
影响范围
ApacheLog4j2.x=2.15.0-rc1(据悉,官方rc1补丁有被绕过的风险)
经火线安全团队验证,可能受影响的应用不限于以下内容(漏洞攻击面可能会逐步扩散到基础开源软件、客户端软件等更多资产面):
Spring-Boot-strater-log4j2
ApacheStruts2
ApacheSolr
ApacheDruid
ApacheFlink
ElasticSearch
Flume
Dubbo
Jedis
Logstash
Kafka
无害检测工具
Java项目构建后,放置于/opt/app.jar,如何检测app.jar是否受到log4j的影响?如何检测开源组件中是否套娃式引用Log4j漏洞版本并存在可利用链条?
点击查看: