9 декабря 360 Security Center проверил, что Apache официально выпустил версию log4j-2.15.0-rc1 7 декабря 2021 года. Согласно исследованию и заключению экспертов по безопасности 360 Group, эта версия позволяет обходить риски и риски безопасности. Производитель выпустил последнюю версию log4j-2.15.0-rc2, пожалуйста, обновите ее как можно скорее.
После включения функции ведения журнала компонент может быть успешно использован путем вставки кода эксплойта везде, где может быть запущен журнал ошибок. Если журнал, записываемый этим компонентом, содержит журнал других систем, это может вызвать непрямое заражение. Через промежуточную систему компонент косвенно считывает агрессивный код эксплойта, который также может косвенно вызвать срабатывание уязвимости.
По мнению экспертов по облачной безопасности 360 уязвимостей, log4j2 - это широко используемая среда ведения журналов Java во всем мире. В то же время уязвимость также затрагивает многие распространенные компоненты с открытым исходным кодом, которые используются во всем мире, такие как Apache Struts2, Apache Solr, Apache Druid и Apache Flink. Метод использования этой уязвимости прост, а ущерб серьезен. Официально выпущена последняя версия продукта. Рекомендуется, чтобы пользователи как можно скорее обновили компоненты, чтобы исправить и уменьшить уязвимость.
Анализ воздействия уязвимости
С помощью поисковой системы Google для анализа продуктов и других компонентов с открытым исходным кодом, зависящих от этого компонента, было обнаружено, что 310 продуктов и компонентов с открытым исходным кодом зависят от версии Apache Log4j2 2.14.1.
Согласно данным системы исследования сетевого пространства Quake, объем развертывания продуктов, написанных на языке Java, во всей сети показан на следующем рисунке:
Из таблицы статистики топ-5 в мире по использованию видно, что первое место по использованию языка разработки Java занимают Соединенные Штаты, а второе - Китай, а использование Китая и США почти то же.
Поскольку уязвимый компонент является основным компонентом продуктов Java, уязвимость затрагивает всю отрасль. Все компании, использующие Java в качестве языка разработки для разработки продуктов, или компании, использующие язык Java для разработки продуктов, должны самостоятельно проверять свои собственные риски безопасности.
Ремонт и предложения
Выполните обновление до последней версии как можно скорее, обратившись на адрес официального сайта по ссылке: Release log4j-2.15.0-rc2 · apache/logging-log4j2
Настройте сетевой брандмауэр, чтобы запретить системе активно подключаться к сети, включая, помимо прочего, DNS, TCP / IP и ICMP.
Обновите известные приложения и компоненты, такие как srping-boot-strater-log4j2, ApacheSolr, Apache Flink, Apache Druid.
Проверьте сервер централизованного управления журналами, а также коммерческое программное обеспечение, разработанное на основе java, и другие базовые среды, которые могут иметь скрытые опасности.
Меры по усилению и смягчению последствий чрезвычайных ситуаций:
①Установить параметры:
log4j2.formatMsgNoLookups = true
② Измените параметры JVM:
-Dlog4j2.formatMsgNoLookups = true
③Системные переменные среды:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS имеет значение true
④ Запретить внешнее подключение к серверу, на котором расположен log4j2
источник: Urgent|Apache log4j-2.15.0-rc1 version has a bypass risk, please upgrade to log4j-2.15.0-rc2 as soon as possible! | 360 Total Security Blog
После включения функции ведения журнала компонент может быть успешно использован путем вставки кода эксплойта везде, где может быть запущен журнал ошибок. Если журнал, записываемый этим компонентом, содержит журнал других систем, это может вызвать непрямое заражение. Через промежуточную систему компонент косвенно считывает агрессивный код эксплойта, который также может косвенно вызвать срабатывание уязвимости.
По мнению экспертов по облачной безопасности 360 уязвимостей, log4j2 - это широко используемая среда ведения журналов Java во всем мире. В то же время уязвимость также затрагивает многие распространенные компоненты с открытым исходным кодом, которые используются во всем мире, такие как Apache Struts2, Apache Solr, Apache Druid и Apache Flink. Метод использования этой уязвимости прост, а ущерб серьезен. Официально выпущена последняя версия продукта. Рекомендуется, чтобы пользователи как можно скорее обновили компоненты, чтобы исправить и уменьшить уязвимость.
Анализ воздействия уязвимости
С помощью поисковой системы Google для анализа продуктов и других компонентов с открытым исходным кодом, зависящих от этого компонента, было обнаружено, что 310 продуктов и компонентов с открытым исходным кодом зависят от версии Apache Log4j2 2.14.1.
Согласно данным системы исследования сетевого пространства Quake, объем развертывания продуктов, написанных на языке Java, во всей сети показан на следующем рисунке:
Из таблицы статистики топ-5 в мире по использованию видно, что первое место по использованию языка разработки Java занимают Соединенные Штаты, а второе - Китай, а использование Китая и США почти то же.
Поскольку уязвимый компонент является основным компонентом продуктов Java, уязвимость затрагивает всю отрасль. Все компании, использующие Java в качестве языка разработки для разработки продуктов, или компании, использующие язык Java для разработки продуктов, должны самостоятельно проверять свои собственные риски безопасности.
Ремонт и предложения
Выполните обновление до последней версии как можно скорее, обратившись на адрес официального сайта по ссылке: Release log4j-2.15.0-rc2 · apache/logging-log4j2
Настройте сетевой брандмауэр, чтобы запретить системе активно подключаться к сети, включая, помимо прочего, DNS, TCP / IP и ICMP.
Обновите известные приложения и компоненты, такие как srping-boot-strater-log4j2, ApacheSolr, Apache Flink, Apache Druid.
Проверьте сервер централизованного управления журналами, а также коммерческое программное обеспечение, разработанное на основе java, и другие базовые среды, которые могут иметь скрытые опасности.
Меры по усилению и смягчению последствий чрезвычайных ситуаций:
①Установить параметры:
log4j2.formatMsgNoLookups = true
② Измените параметры JVM:
-Dlog4j2.formatMsgNoLookups = true
③Системные переменные среды:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS имеет значение true
④ Запретить внешнее подключение к серверу, на котором расположен log4j2
источник: Urgent|Apache log4j-2.15.0-rc1 version has a bypass risk, please upgrade to log4j-2.15.0-rc2 as soon as possible! | 360 Total Security Blog