當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

Apache日志记录组件Log4j出现反序列化漏洞黑客可以执行任意代码所有2.x版本均受影响...

發(fā)布時間：2023/12/19 编程问答 37 豆豆

生活随笔收集整理的這篇文章主要介紹了 Apache日志记录组件Log4j出现反序列化漏洞黑客可以执行任意代码所有2.x版本均受影响... 小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

開源的東西用的人多了，自然漏洞就多。Apache用于日志記錄的組件Log4j使用非常靈活，在相當多的開源項目中都有使用，此次漏洞影響所有Apache Log4j 2.*系列版本：?Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1，使用Java 7+的用戶應(yīng)立即升級至2.8.2版本。綠盟科技發(fā)布安全威脅通告，通告全文如下：

Apache Log4j是什么

Log4j是Apache的一個開源項目，通過使用Log4j，我們可以控制日志信息輸送的目的地是控制臺、文件、GUI組件，甚至是套接口服務(wù)器、NT的事件記錄器、UNIX?Syslog守護進程等；我們也可以控制每一條日志的輸出格式；通過定義每一條日志信息的級別，我們能夠更加細致地控制日志的生成過程。最令人感興趣的就是，這些可以通過一個配置文件來靈活地進行配置，而不需要修改應(yīng)用的代碼。

綠盟科技《?Apache Log4j反序列化漏洞安全威脅通告?》

通告全文如下

北京時間18日清晨，Apache Log4j 被曝出存在一個反序列化漏洞(CVE-2017-5645)。攻擊者可以通過發(fā)送一個特別制作的2進制payload，在組件將字節(jié)反序列化為對象時，觸發(fā)并執(zhí)行構(gòu)造的payload代碼。該漏洞主要是由于在處理ObjectInputStream時，接收器對于不可靠來源的input沒有過濾?？梢酝ㄟ^給TcpSocketServer和UdpSocketServer添加可配置的過濾功能以及一些相關(guān)設(shè)置，可以有效的解決該漏洞。目前Log4j官方已經(jīng)發(fā)布新版本修復了該漏洞。

相關(guān)地址：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=%09CVE-2017-5645

https://issues.apache.org/jira/browse/LOG4J2-1863

http://seclists.org/oss-sec/2017/q2/78

影響范圍

受影響的版本

所有Apache Log4j 2.*系列版本：?Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1

不受影響的版本：?Apache Log4j 2.8.2

規(guī)避方案

使用Java 7+的用戶應(yīng)立即升級至2.8.2版本或者避免使用socket server的相關(guān)類。參考鏈接：

https://issues.apache.org/jira/browse/LOG4J2/fixforversion/12339750/?selectedTab=com.atlassian.jira.jira-projects-plugin:version-summary-panel

使用Java 6的用戶應(yīng)該避免使用TCP或者UDP 的socket server相關(guān)類，用戶也可以手動添加2.8.2版本更新的相關(guān)代碼來解決該漏洞。

參考鏈接：

https://git-wip-us.apache.org/repos/asf?p=logging-log4j2.git;h=5dcc192

綠盟科技聲明

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失，均由使用者本人負責，綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此安全公告，必須保證此安全公告的完整性，包括版權(quán)聲明等全部內(nèi)容。未經(jīng)綠盟科技允許，不得任意修改或者增減此安全公告內(nèi)容，不得以任何方式將其用于商業(yè)目的。

原文發(fā)布時間：2017年4月18日

本文由：綠盟科技發(fā)布，版權(quán)歸屬于原作者

原文鏈接:http://toutiao.secjia.com/apache-log4j-deserialization-vulnerabilities-cve-2017-5645

本文來自云棲社區(qū)合作伙伴安全加，了解相關(guān)信息可以關(guān)注安全加網(wǎng)站

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結(jié)

以上是生活随笔為你收集整理的Apache日志记录组件Log4j出现反序列化漏洞黑客可以执行任意代码所有2.x版本均受影响...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇： python创建提示用户输入查询条件_p
下一篇：机器人鸣人是哪一集_火影忍者：四个机器人