推薦:花了2萬(wàn)多買(mǎi)的Java架構(gòu)師課程全套定页,現(xiàn)在分享給大家,從軟件安裝到底層源碼(Java高級(jí)互聯(lián)網(wǎng)架構(gòu)師VIP教程)
昨天晚上一個(gè) Apache Log4j2 的高危漏洞被公開(kāi)了绽诚,這個(gè)遠(yuǎn)程代碼執(zhí)行漏洞堪稱(chēng)史詩(shī)級(jí)別的漏洞典徊。
Apache Log4j2 這個(gè)組件有多少公司在用,這個(gè)不用我多說(shuō)吧恩够,實(shí)在是太多了卒落。不知道昨晚有多少程序員半夜起床改代碼呢?
漏洞原理官方表述是:Apache Log4j2 中存在JNDI注入漏洞蜂桶,當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)進(jìn)行日志記錄時(shí)儡毕,即可觸發(fā)此漏洞,成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼扑媚。
通俗簡(jiǎn)單的說(shuō)就是:在打印日志的時(shí)候腰湾,如果你的日志內(nèi)容中包含關(guān)鍵詞 ${,攻擊者就能將關(guān)鍵字所包含的內(nèi)容當(dāng)作變量來(lái)替換成任何攻擊命令疆股,并且執(zhí)行费坊。
漏洞檢測(cè)方案
1、通過(guò)流量監(jiān)測(cè)設(shè)備監(jiān)控是否有相關(guān) DNSLog 域名的請(qǐng)求
2旬痹、通過(guò)監(jiān)測(cè)相關(guān)日志中是否存在“jndi:ldap://”附井、“jndi:rmi”等字符來(lái)發(fā)現(xiàn)可能的攻擊行為。
漏洞修復(fù)方案
Apache 官方已經(jīng)發(fā)布了測(cè)試補(bǔ)丁两残,中招的用戶趕緊升級(jí)最新的安全版本吧永毅,
補(bǔ)丁下載:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
遇到這種波及范圍很廣的漏洞,對(duì)于白帽子來(lái)說(shuō)簡(jiǎn)直就是過(guò)年了人弓。批量刷漏洞卷雕、批量提交漏洞,甲方 SRC 老板們趕緊交米票从,這一波下來(lái)夠吃半年~~
圈內(nèi)已經(jīng)傳出來(lái)了漫雕,下一個(gè)養(yǎng)活安全工程師的洞就是 log4j !
可是就在大家準(zhǔn)備提交漏洞的時(shí)候峰鄙,突然發(fā)現(xiàn)這漏洞人家不收了浸间!
想想也是,這漏洞已經(jīng)公開(kāi)了吟榴,再讓大家這么提交豈不是浪費(fèi)自己的預(yù)算么魁蒜。