近日,任子行安服業(yè)務(wù)中心監(jiān)測(cè)到Apache Log4j2存在遠(yuǎn)程代碼執(zhí)行漏洞,通過(guò)構(gòu)造惡意的代碼即可利用該漏洞�,從而導(dǎo)致服務(wù)器權(quán)限丟失�����。由于該漏洞危害較大,任子行安服業(yè)務(wù)中心建議相關(guān)用戶及時(shí)采取安全措施阻止漏洞攻擊�。
Log4j是Apache的一個(gè)開(kāi)源項(xiàng)目,通過(guò)使用Log4j����,可以控制日志信息輸送的目的地是控制臺(tái)、文件�����、GUI組件�����,甚至是套接口服務(wù)器�����、NT的事件記錄器、UNIX Syslog守護(hù)進(jìn)程等�;也可以控制每一條日志的輸出格式;通過(guò)定義每一條日志信息的級(jí)別�,能夠更加細(xì)致地控制日志的生成過(guò)程,這些可以通過(guò)一個(gè)配置文件來(lái)靈活地進(jìn)行配置�,而不需要修改應(yīng)用的代碼。
Apache Log4j2是 Log4j的升級(jí)版本��,該版本與之前的log4j1.x相比帶來(lái)了顯著的性能提升����,并且修復(fù)一些存在于Logback中固有的問(wèn)題的同時(shí)提供了很多在Logback中可用的性能提升,Apache Struts2�、Apache Solr、Apache Druid�、Apache Flink等均受影響。
2.影響范圍與漏洞等級(jí)
Apache Log4j 2.x <= 2.14.1 版本均受影響����,任子行安服業(yè)務(wù)中心對(duì)此漏洞風(fēng)險(xiǎn)評(píng)級(jí)為:高危。
任子行安服中心已經(jīng)對(duì)漏洞進(jìn)行復(fù)現(xiàn)��。并給予用戶以下修復(fù)建議�。
3.修復(fù)建議
1、官方補(bǔ)?���。?/p>
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2��、升級(jí)其他涉及到的通用組件����,例如Apache Struts2���、Apache Solr等��。
3、在未完成對(duì)相關(guān)組件升級(jí)之前�����,可以在WEB應(yīng)用防火墻中增加針對(duì)此漏洞的防護(hù)策略�。
4.防護(hù)方案
1. 使用任子行WEB應(yīng)用防火墻的用戶在“特征防護(hù)規(guī)則”中增加兩條自定義表達(dá)式規(guī)則,具體配置如下圖�����,檢測(cè)點(diǎn)為HTTP請(qǐng)求頭�����,HTTP請(qǐng)求體,表達(dá)式為:\$\s*{\s*jndi\s*:\s*(ldap|rmi)\s*:
SURF-WAF/V10.0:
將自定義的特征防護(hù)規(guī)則運(yùn)用到防護(hù)策略中��,對(duì)使用了Log4j組件的服務(wù)器進(jìn)行防護(hù)�。
2.在線升級(jí)WEB應(yīng)用防火墻的規(guī)則庫(kù),任子行已經(jīng)緊急將此漏洞的防護(hù)規(guī)則更新到了WEB應(yīng)用防火墻規(guī)則庫(kù)中����,用戶可以在線對(duì)設(shè)備的規(guī)則庫(kù)進(jìn)行升級(jí)。
公安備案號(hào):44030502000376