2023-12-13 17:25:35 作者 : 围观 :45次
流行度超高的Java日志框架Log4j2
曝出了一个惊天大漏洞
这个漏洞的严重性、影响面
堪称今年之最
【先看严重性】
攻击者可以利用漏洞远程执行代码
最终获得服务器的最高权限
接下来,你懂得,可以为所欲为了
【再看影响范围】
因为这个日志框架性能好、流行度高
广泛使用在中间件、开发框架、Web程序中
也波及了大量Apache其它开源产品
所以,圈里有人说“核弹级”漏洞
有人说“史诗级”漏洞
夸张,但不为过
这个漏洞怎么爆出来的?
我们来捋捋来龙去脉
????
该漏洞最早是被阿里云安全团队发现的
并在11月24日报告给了Apache官方
随后,在2021年12月7日
Apache官方发布了针对此漏洞的补丁版
(log4j-2.15.0-rc1)
????
接下来,情况急转直下
12月9日,也就是昨天
网络中出现了利用此漏洞的攻击行为
????
为了避免更大的损失
该漏洞的细节被紧急公开披露
以便所有受影响的人快速应对
这一公布,安全圈立刻炸锅了
甲方看了菊花紧,乙方看了背心凉
明白人都知道
这漏洞不仅危害性大、波及面广
而且上手还非常简单
so,昨晚漏洞细节一披露
乙方厂商忙着出应对方案
甲方用户忙着打补丁、改程序
热火朝天,一顿操作猛如虎
昨夜,成了安全从业者的不眠之夜
接下来我们就盘点一下
各大厂商熬夜肝出来的应对方案
先看Apache官方
作为漏洞的“始作俑者”
他们的表现,谈不上很好
12月7号的修复版,并不完美
(log4j-2.15.0-rc1)
仍然存在被绕过的风险
因此,在今天凌晨
Apache官方又紧急更新了一个版本
(log4j-2.15.0-rc2)
来修复“修复”版的漏洞
所以,现在真正没问题的版本是rc2
(国内很多安全厂商先前发布的建议不准确)
以下,摘录各大厂商给出的应对方案
供使用到相关服务的用户参考
????
阿里云 作为该漏洞的发现者,阿里云的应对相对从容,24日就向Apache官方报告了漏洞,并第一时间开始修复自家的相关受影响系统。 昨晚第一时间,「阿里云应急响应」也发布了安全公告。 同时,给出如下建议:
奇安信 奇安信是所有安全大厂里,“昨晚最早”发布相关应急响应建议的,并且从昨晚到今天,累计更新3次响应公告。 以下引用其第三版处置建议:
微步在线 微步称,其TDP产品基于其自研的通用漏洞检测引擎,已于数月前支持该漏洞的检测(JNDI命令注入漏洞检测)。拥有该产品的客户,无需升级,即可实现检测。 同时,给出如下建议:
深信服 以下为深信服给的处置建议:
默安科技 默安科技给出临时解决方案: 完整链接点这里:
腾讯安全 以下为腾讯安全处置建议:
绿盟 以下为绿盟处置建议:
360 360共发布2次通告,以下为第二次置建议:
亚信安全 以下为亚信安全处置建议:
华为安全 以下为华为给出解决方案:
天融信 以下为天融信给出修复建议:
启明星辰 以下为启明星辰给出修复建议:
科来 以下为科来给出修复建议:
青藤云安全 以下为青藤给出的建议:
迪普 以下为迪普给出的建议:
山石网科 以下为山石网科给出的建议:
安恒信息 以下为安恒给出缓解建议:
观安信息 观安发布两次通告,以下为攻击排查、修复建议和缓解方案:
最后
附上国家互联网应急中心的处置建议
CNCERT
