Log4j2出现惊天大漏洞,你会应对吗?

最新推荐文章于 2024-06-18 16:45:09 发布
最新推荐文章于 2024-06-18 16:45:09 发布
阅读量1.7k 收藏
点赞数
文章标签: 运维 java 大数据 人工智能 安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNzUyNzI5Mw==&mid=2730793577&idx=2&sn=3f10f23af308ead431cfd1f38c6b0eff&chksm=bc4cf47b8b3b7d6d59fa1990baa0eab2459864c71630f93de2c20c50e0c593a1d24b6113e4e3&scene=126&&sessionid=0
版权

dafcd46a037777d915066f03b6eae29f.png

题图摄于美国大峡谷

12月9日,流行的日志库 Apache Log4j2 爆出了惊天大 bug,是情况十分严重的漏洞。

这个漏洞到底有多大呢?业内有个对安全漏洞评分的标准,叫做 CVSS(Common Vulnerability Scoring System,常用漏洞评分系统),分数是0-10,10是漏洞最严重,0是最轻。这个 Log4j2 的漏洞,CVSS 分数直接打满 10 分!

我在 20 年前写 Java 代码就曾用过 Log4j ,它作为Java语言最广泛使用的日志库,很多应用系统都在使用;从代码上看,这个漏洞相当低级,触发门槛极低,有点像 SQL 注入,攻击者可用设计过的特定字符串去利用漏洞,从而远程控制中招的电脑系统。

这漏洞的影响就好比在人口密集的城市中心引爆了一枚炸弹!明白了这个漏洞的广度和烈度,CVSS 给10分就不足为奇了。

通常,这类软件的安全漏洞有很严格的告警流程。一种常规的做法是:发现者先私下报告潜在的问题给开发者,开发者确认后,会发布修复版本,然后再公之于众,这样使得用户有修复漏洞的方法。我们在 Harbor 开源项目中就有类似的漏洞报告流程

本次漏洞最早在 11 月 24 日由阿里云的团队发现,并创建了 CVE 编号(CVE-2021-44228)。

Log4j 的团队于12月6日发布了一个RC(Release Candidate)版本,尝试修复这个漏洞。RC 版本可以说是个 beta 版本,用户一般不会立刻在生产线上使用。但是有人在 RC 版本中发现了这个漏洞,因而传播开来,很多用户因此措手不及。

直到 12 月 10 日,Log4j 才推出了修复版本。黑客利用这几天的时间差疯狂进行 0日攻击。据悉,已有黑客大肆扫描网络主机,并利用此漏洞攻克网上的“肉鸡”用作虚拟货币挖矿。

我们云原生实验室团队研发的前沿项目都没有使用 Java 语言,自动免疫此次危机。但 Java 毕竟是雄踞最受欢迎编程语言榜首多年,群众基础相当好,众多企业依然在使用 Java 语言,对他们的开发和运维人员来说,这几天将是不眠之夜了。

为帮助企业用户了解并应对 Log4j2 漏洞,下面转载 雅客云安全 关于应对 Log4j2漏洞的文章,原文标题为:针对 Apache Log4j-2 漏洞的最佳检测防护方案

雅客云安全是我们 Harbor 开源项目的合作伙伴,提供了和 Harbor 对接的开源镜像漏洞扫描器,并在此基础上增加了一系列侦测和防范漏洞的机制,可在线修补漏洞,非常适合 K8s 这样的云原生平台使用。

下面转载开始:

1.  Apache Log4j-2 漏洞报告

漏洞编号: CVE-2021-44228

漏洞等级: 高危,该漏洞影响范围极广,危害极大

CVSS评分: 10分,最高级

描述: Log4j-2中存在 JNDI 注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。鉴于此漏洞危害较大,建议客户尽快采取措施防护此漏洞。

根据美国国家漏洞数据库 NVD 的现有报告,该漏洞影响所有Apache Log4j 2.14.1 以下版本的。

官方漏洞修补措施: 升级到Apache log4j-2.15.0 正式版

0d431f1e782f7276404a86b7e9041590.png

2.  雅客云的漏洞扫描及响应

| 2.1  容器漏洞扫描

应用雅客云安全的扫描程序,通过下载最新的漏洞情报库或者手动更新扫描情报库镜像两种方式进行更新。

方式一: 漏洞情报库更新

通过雅客云提供的在线情报库更新服务进行漏洞库更新

286e5df98c493c41029fd29b9762313d.png

方式二: 网络受限环境的漏洞情报库更新

联系雅客云进行网络受限(非联网)环境下的漏洞情报库更新,也就是更新漏洞情报库服务镜像。

2021年12月10日的漏洞库镜像 SHA 值为: sha256:1f3bd338577a1decbbbaee53c2098a7502648d99de1489eef74ce15f3f23bd51

漏洞情报库更新之后,进行容器镜像漏洞扫描,可以直接扫描出包含该高危漏洞的容器镜像,包括镜像库内的镜像、主机节点上的镜像。

(1) 执行容器镜像扫描,查看包含漏洞的问题镜像的扫描结果。

6a223d0e5bccafd4cf1d17d3fe2840c3.png

(2) 通过容器威胁信息系统中的漏洞信息汇总快速查看关联该漏洞的容器镜像。

5af314538dac9650478e1772b1bf4ad9.png

| 2.2 虚拟补丁(在线防护方案)

通过部署雅客云安全的 WEB应用防护墙,可以通过 虚拟补丁 的机制,进行在线的应用漏洞修补,为在线应用提供可靠的安全防护。

(1) 为存在漏洞的服务镜像注入虚拟布丁,漏洞的在线虚拟补丁入口。

b82b5b860b1fda99e2405894855abd8e.png

(2) 部署虚拟补丁进行拦截防护。

a61fce13602de9ee3d2d9d2af62c6cff.png

3.  事件总结

漏洞隐藏在安全左侧,然而在应用右侧突然爆发,安全能力不能只顾单边,必须横跨全局,打通左右壁垒,实现全栈防护。

ArkSec雅客云通过软件定义安全,赤岩石平台的分布式安全防护能力的创新可以快速定位任何突发问题,并快速构建解决方案。

北京雅客云安全科技有限公司(ArkSec)是由硅谷领先网络安全公司资深技术专家、以色列领先网络安全公司高管团队成立的以基于云原生安全产品和服务为主的技术驱动型高新技术企业。公司开发了国内自主知识产权的云原生安全全生命周期防护产品,以此作为起点,创新实现了云安全能力的快速交付、编排、调度,是中国首家将预测、防御、监控和响应能力融为一体,提供云原生全栈安全防护平台并覆盖到边缘云的整体解决方案的公司(www.arksec.cn)。

要想了解云原生、机器学习和区块链等技术原理,请立即长按以下二维码,关注本公众号亨利笔记 ( henglibiji ),以免错过更新。

059ee867f534347281b8260db19e8bae.png

亨利笔记
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Log4j2 重大漏洞与解决方案
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j的漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞这么强烈呢?
严重危害警告 Log4j 执行漏洞被公开
qq_53058639的博客
02-14 1133
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重。Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程。Log4j 是目前全球使用最广泛的 java 日志框架之一。
Log4j2 远程代码执行漏洞(CVE-2021-44228)
最新发布
qq_68163788的博客
06-18 1226
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。CVE-2021-44228是Log4j2中存在的一个严重的远程代码执行漏洞。攻击者可以通过恶意构造的日志信息,利用该漏洞执行恶意代码,从而危害受影响的系统。这个漏洞对于使用Log4j2的用程序和系统构成了潜在的安全风险。
Apache log4j2 漏洞,影响到了千千万万程序员,彻夜修复
天道酬勤
12-11 1万+
可怕的漏洞 Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。 作为 Java 日志界的扛把子,Log4j 和 logback 几乎一统了江湖,影响面不可谓不大,下面我们就来亲身用代码来体一下这个漏洞。 此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者灵活的读取环境中的配置。 简单点说,就是 log.info("")这行代码中,{}") 这行代码中,")这行代码中,{} 里的变量可以被替换,但是参数内容未做严格的控制,导致这个漏
Log4j2核弹级漏洞线上修复方案!
Rookie
12-11 361
一、漏洞描述2月9日晚,Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此...
Log4j 2漏洞(CVE-2021-44228)的快速响
dotNET跨平台
12-14 1385
简介2021 年 12 月 9 日,在Log4j的 GitHub 上公开披露了一个影响多个版本的 Apache Log4j 2 实用程序的高严重性漏洞 CVE-2021-44228、CVS...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
漏洞影响了全球大量的网络服务,因此,快速、准确地检测和修复Log4j2漏洞变得至关重要。 针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
log4j2漏洞检测工具
05-07
**Log4j2漏洞检测工具详解** 在当前的IT环境中,安全问题日益凸显,特别是针对开源组件的安全漏洞Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的...
log4j log4j2 2.15.0漏洞解决
12-10
《深入解析Log4j与Log4j2 2.15.0漏洞及解决方案》 在信息技术领域,日志记录是系统监控、故障排查和安全分析的重要环节。Log4j和Log4j2作为Java平台广泛使用的日志框架,其性能高效、功能强大,深受开发者喜爱。...
已修改过的log4j-1.2.17.jar
11-21
使用log4j的DailyRollingFileAppender时只有一个日志文件,修改DailyRollingFileAppender源码
知名Java日志组件Log4j2爆出严重0 day漏洞,连我们客户都来问中招了没
码农小胖哥
12-10 1210
今天早上醒来,知名的Java日志组件Apache Log4j2就刷爆了圈子。它被发现了一个 0 Day 漏洞,该Log4J2 漏洞可以让黑客通过日志记录远程执行代码(Remote Code...
log4j2日志包中发现RCE 0day漏洞--测试记录2021年12月10日
陈海明 -全栈
12-12 1317
一、发生时间:2021年12月10日 在流行的 Java 日志库log4j中发现了一个 0day漏洞(绰号Log4Shell 或 LogJam或 log4j2rce,详见:CVE-2021-44228),该漏洞通过记录某个字符串导致远程代码执行 (RCE)。 鉴于log4j2库非常流行,漏洞被利用完全控制你的服务器,实现挖矿等无法想象的后果。这个 log4j 漏洞非常严重,该漏洞在 CVSS 评级系统中的得分为 10 分,满分是10分,表明问题的严重性。数...
Log4j 第三次发布漏洞补丁,漏洞或将长存
CSDN云计算
12-20 214
整理 | 郑丽媛、禾木木出品| CSDN这几天,Apache Log4j 2 绝对是众多 Java 程序员提到的高频词之一:由于 Apache Log4j 2 引发的严重安全漏洞,令一大...
Log4j漏洞调研,源码浅解析
weixin_44029684的博客
12-17 1489
最近log4j的安全漏洞突然冒了出来,用了许久slf4j的我吓得赶紧翻遍了依赖,发现自己用的依赖并没有依赖上log4j-core,长吁一口气。吃了个午饭后转念一想我又没工作,也没啥线上项目在跑,何故担心这些问题?wc,那倒腾半天不就白整了,不行,反正这漏洞在java圈也挺大的,不如顺便研究一波,在未来聘时也有聊的地方。 全文几乎都是站在巨人的肩膀上完成的,新人技术不佳,还望轻喷。
2021年12月报Log4j1.2网络安全漏洞排查和修复建议
lujiawei00的专栏
12-20 9649
2021年12月报Log4j1.2网络安全漏洞排查和修复建议。
Log4j2 漏洞检测工具清单
热门推荐
01-17 1万+
距离Log4j2漏洞公开已经过去一个月了,它所造成的严重影响已经不需要我们重复提及了。随着时间的推移,新的漏洞不断出现,旧的漏洞不断消失,而这个Log4j2中的RCE漏洞可能需要好几年...
Log4j2最近被爆出巨大漏洞
文盲青年的博客
12-11 3295
一、背景 近日,知名sl4j日志规范实现框架log4j2被爆出巨大漏洞,可被黑客利用jndi机制执行非法命令,获取服务器权限等,不幸的是很多知名框架也用了log4j2,我们熟知的如Apache Struts2、Apache Solr、Apache Druid、Apache Flink… 相信很多互联网厂此刻正瑟瑟发抖,紧急修复。 国家网络急中心也紧急发布了处理意见:关于Apache Log4j2存在远程代码执行漏洞的安全公告 很多服务使用了log4j2框架,并且打了API入参日志、三方交互日志等,正在被黑
Log4j2深度解析:超越Log4j与Logback的优势
"本文介绍了Log4j2的基本概念、特性以及相对于Log4j1.x和Logback的优势,并提供了Log4j2的使用方法和配置文件的相关信息。" Log4j2作为Apache软件基金的一个项目,是对早期Log4j1.x的重构,旨在提供更高的性能和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值