腾讯云容器安全已支持检测Apache Log4j2漏洞

2021-12-14 7,506

腾讯云容器安全服务团队通过犀引擎发现较多镜像受ApacheLog4j2远程代码执行漏洞影响,存在较高风险!

1、漏洞描述

腾讯云容器安全服务团队注意到,12月9日晚,Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。

因该组件使用极为广泛,利用门槛很低,危害极大,腾讯安全专家建议所有用户尽快升级到安全版本。

2、漏洞风险

高危,该漏洞影响范围极广,利用门槛很低,危害极大。

CVSS评分:10(最高级)

表格1.png

3、漏洞影响版本

Apache log4j2 2.0 - 2.14.1 版本均受影响。

4、安全版本

Apache log4j-2.15.0-rc2

(2.15.0-rc1版,经腾讯安全专家验证可以被绕过)

5、漏洞修复建议

官方补丁:

升级Apache Log4j所有相关应用到最新的 Log4j-2.15.0-rc2 版本。

(2.15.0-rc1版,经腾讯安全专家验证可以被绕过)

补丁地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2


缓解措施:

方案一:修改Java虚拟机启动参数,添加-Dlog4j2.formatMsgNoLookups=true

方案二:代码中配置System.setProperty("log4j2.formatMsgNoLookups","true"),重新打包jar包


本文作者:YDclub

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/171153.html

Tags:
评论  (0)
快来写下你的想法吧!

YDclub

文章数:82 积分: 214

我们正努力成为云上安全的技术领导者~

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号