十小时前,ApacheLog4j2远程代码执行漏洞被曝光于互联网。攻击者可以利用该漏洞构造特殊的数据请求包,最终触发远程代码执行。据“白帽”分析,百度等几乎所有科技巨头都是该Log4j远程代码执行漏洞的受害者。(根据Apache官方最新消息,Log4j-2.15.0已在发布页面更新通过,正式发布正在进行中。)自阿里云安全团队于11月正式报告ApacheLog4J2远程代码执行漏洞以来24、其危险的漏洞不断在互联网上传播。由于ApacheLog4j2的部分函数具有递归分析功能,攻击者可以直接构造恶意请求触发远程代码执行漏洞。ApacheLog4j2ApacheLog4j2最初由CekiGülcü编写,是Apache软件基金会的Apache日志服务项目的一部分。Log4j是Java的几个日志记录框架之一。ApacheLog4j2是Log4j的升级版,相比其前身Log4j1有更显着的改进,同时修复了Logback架构中的一些固有问题。通过ApacheLog4j2框架,开发者可以通过定义每条日志消息的级别来控制日志的生成过程。目前,日志框架已经广泛应用于业务系统开发中,用于记录日志信息。在大多数情况下,开发人员可能会将用户输入导致的错误消息写入日志。漏洞描述ApacheLog4j2远程代码执行漏洞的详细信息已被披露。经分析,ApacheLog4j远程代码执行漏洞是由于组件中存在JavaJNDI注入漏洞:当程序记录用户输入的数据时,攻击者通过构造特殊请求触发ApacheLog4j2远程代码执行漏洞,从而利用该漏洞在目标服务器上执行任意代码。受影响版本:ApacheLog4j2.x<=2.14.1已知受影响的应用程序和组件:srping-boot-strater-log4j2ApacheSolrApacheFlinkApacheDruid据悉,ApacheLog4j2远程代码执行漏洞风险已被业界评为“高”risk”,漏洞危害极大,利用门槛极低。据报道,ApacheSolr、ApacheStruts2、ApacheDruid、ApacheFlink等众多组件和大型应用受到影响,必须尽快采取解决方案加以防范。解决方案目前ApacheLog4j已发布新版本修复该漏洞,请受影响用户将ApacheLog4j2相关应用全部升级至最新的Log4j-2.15.0-rc2版本,同时升级已知受影响的应用和组件例如srping-boot-strater-log4j2、ApacheSolr、ApacheFlink、ApacheDruid。临时修复建议:之前JVM参数添加-Dlog4j2.formatMsgNoLookups=truelog4j2.formatMsgNoLookups=TrueFORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true,log4j漏洞不知道听了多少遍了,现在又有新的0day了被恶意泄露。而且影响非常广泛。根据payload的公开信息,全球已有大量网站被该漏洞“攻陷”,比如百度:和iCloud:漏洞消息一出,就引起了开发者的关注以及业内Java领域的安全工程师。更新:根据最新的Apache官方信息,Log4j2.15.0版本已经在发布页面更新:
