<ol id="3dfv1"></ol>

        <big id="3dfv1"><th id="3dfv1"><thead id="3dfv1"></thead></th></big>

              <video id="3dfv1"></video>
              <strike id="3dfv1"><listing id="3dfv1"><form id="3dfv1"></form></listing></strike><th id="3dfv1"></th>
              <meter id="3dfv1"><cite id="3dfv1"></cite></meter>

                  <pre id="3dfv1"><track id="3dfv1"><th id="3dfv1"></th></track></pre>

                    渠道公告

                    CVE-2021-4104應急處置

                    來源:聚銘網絡    發布時間:2021-12-15    瀏覽次數:
                     

                    一、漏洞描述:

                    當攻擊者具有對Log4j配置的寫訪問權限時,Log4j 1.2中的JMSAppender容易受到不受信任數據反序列化的攻擊。攻擊者可以提供TopicBindingName和TopicConnectionFactoryBindingName配置,導致JMSApender執行JNDI請求,從而以與CVE-2021-44228類似的方式執行遠程代碼。

                    注意:當專門配置使用JMSApender時,此問題僅影響Log4j 1.2,這不是默認設置。Apache Log4j 1.2于2015年8月終止使用。用戶應該升級到Log4j 2,因為它解決了以前版本中的許多其他問題。

                    二、漏洞利用方式:

                    由于此漏洞的利用方式與CVE-2021-44228相同,已有規則可以滿足攻擊檢測需要。

                    三、處置方法:

                    (一)升級Log4j到最新版本

                    (二)若暫時無法進行升級操作,可先用下列措施進行臨時緩解:

                    1、添加jvm參數啟動:-Dlog4j2.formatMsgNoLookups=true

                    2、在應用的classpath下添加log4j2.component.properties配置文件,文件內容為:log4j2.formatMsgNoLookups=true

                    3、設置系統環境變量 LOG4J_FORMAT_MSG_NO_LOOKUPS=true

                    4、使用下列命令,移除log4j-core包中的JndiLookup類文件:

                    zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

                    注:當且僅當Apache Log4j >= 2.10版本時,可使用1、2、3、4的任一措施進行防護。

                    5、采用人工方式禁用JNDI,例:在spring.properties里添加spring.jndi.ignore=true

                    6、建議使用JDK在11.0.1、8u191、7u201、6u211及以上的高版本,可在一定程度防止RCE。

                    7、限制受影響應用對外訪問互聯網,并在邊界對dnslog相關域名訪問進行檢測。

                    部分公共dnslog平臺如下:

                    ceye.io

                    dnslog.link

                    dnslog.cn

                    dnslog.io

                    tu4.org

                    burpcollaborator.net

                    s0x.cn
                     
                     

                    上一篇:2021年12月15日聚銘安全速遞

                    下一篇:失控!Log4Shell漏洞出現六十多個惡性變種