12月9号深夜,技术圈经历了一场“大地震”——ApacheLog4j2被曝出一个高危漏洞,危害堪比“永恒之蓝”,相信不少技术都在凌晨被叫醒去公司修复漏洞。
ApacheLog4j2远程代码执行,攻击者通过jndi注入攻击的形式可以轻松远程执行任何代码。随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复,依然未能完全解决问题,现在已经更新到2.15.0-rc2。该漏洞被命名为Log4Shell,编号CVE--。由于该组件广泛应用在Java程序中,影响范围极大。毫不夸张的讲,没有哪个行业能够在该漏洞面前独善其身!
ApacheLog4j2对于Java工程师来说都不陌生,ApacheLog4j2是一款优秀的Java日志框架,该工具重写了Log4j框架,并且引入了大量新的特性。
漏洞介绍
根据介绍,本次漏洞影响的产品版本包括:ApacheLog4j22.0-2.15.0-rc1,利用该漏洞,攻击者能够在未授权的情况下远程执行代码。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。
相关人士从云安全公司边界无限获悉,ApacheLog4j2已存在多种在野利用,且利用方式十分简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器,90%以上基于java开发的应用平台都会受到影响!从科技公司到电商网站,几乎所有行业都会受到影响。业内众多人士认为,其危害程度丝毫不弱于年的“永恒之蓝”漏洞。
资料显示,该漏洞在11月24日就被阿里云安全团队发现并向Apache官方进行了报告。目前,漏洞利用细节已公开,Apache官方已发布补丁修复该漏洞。
修复方法
1.升级ApacheLog4j2所有相关应用(如ApacheStruts2、ApacheSolr、ApacheDruid、ApacheFlink等)到最新的log4j-2.15.0-rc2版本,rc1版本已被证实存在绕过风险,下载