• 专业的加密软件开发及服务商--科兰美轩欢迎您!
    咨询热线:400-873-1393 (20线)     官方微信  |  收藏网站  |  联系我们
    Apache Log4j2 代码执行漏洞事件起因 加密软件 > 行业资讯
    新闻来源:科兰美轩加密软件转摘网络文章   发布时间:2021年12月11日   此新闻已被浏览 87

    2021年11月24日,Apache官方收到了安全研究员报送的 Apache Log4j2 远程代码执行漏洞报告书。

    2021年12月9日晚,Apache Log4j2引发了严重安全漏洞,疑似很多企业的服务器设备被扫描攻击了,而一大批各种安全人员深夜修复bug,可谓“惊心动魄”。

    2021年12月10日,Apache安全研究员发现 Apache Log4j2 2.15.0-rc1 版本存在漏洞绕过并及时报送Apache官方,Apache Log4j2 更新至 Apache Log4j2 2.15.0-rc2 版本。

    安全大牛Flanker在微博中表示:"漏洞很严重,建议排查所有系统依赖升级到log4j-2.15.0-rc1。业务系统可能没有直接引用,但是旁路的日志、大数据等Java体系生态中基本上都有,仍然会被打。"

    log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。

    由于 Log4j2 组件在处理程序日志记录时存在 JNDI 注入缺陷,未经授权的攻击者利用 Log4j2 提供的 lookup 功能通过一些协议去读取相应环境中的配置。但在实现的过程中,组件并未对输入进行严格的判断。攻击者可向目标服务器发送精心构造的恶意数据,触发 Log4j2 组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。


    Apache Log4j2 组件在开启了日志记录功能后,凡是在可触发错误记录日志的地方,插入漏洞利用代码,即可利用成功。特殊情况下,若该组件记录的日志包含其他系统的记录日志,则有可能造成间接投毒。通过中间系统,使得组件间接读取了具有攻击性的漏洞利用代码,亦可间接造成漏洞触发。

    同时该漏洞还影响很多全球使用量的Top序列的通用开源组件,例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。


    ·上一条:杀毒软件与文件加密软件二选一就可以保障数据安全吗? | ·下一条:Apache Log4j2 代码执行漏洞的影响范围及安全建议

    溧阳兑仍娱乐有限公司 广州享购信息科技有限公司| 过滤上海有限公司| 山东晟博安金属制品有限公司| 无锡迪奥装饰设计工程有限公司| 机床主轴有限公司| http://www.kildareescorts.com http://www.serendipityevents.net