Apache Log4j2远程代码执行漏洞

Posted 2023-03-28

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了Apache Log4j2远程代码执行漏洞相关的知识，希望对你有一定的参考价值。

参考技术A

一、情况分析

近日，监测发现互联网中出现 Apache Log4j2 远程代码执行漏洞。攻击者可利用该漏洞构造特殊的数据请求包，最终触发远程代码执行。由于该漏洞影响范围极广，建议广大用户及时排查相关漏洞。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。

由于Apache Log4j2在JAVA应用中使用量大，目前已知受影响的组件应用有：Apache Struts2、Apache Solr、Apache Druid、Apache Flink，但问题不仅仅局限在这些项目，用Java开发的系统都有可能用此日志框架。

二、影响范围

Apache Log4j 2.x <= 2.14.1

三、处置建议

1、升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc1版本，地址https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

2、升级已知受影响的应用及组件，如spring-boot-start-log4j2/Apache Solr/Apache Flink/Apache Druid

排查方法：到服务器搜索排查Java应用是否引入 log4j-api , log4j-core 两个jar包，影响版本：Apache Log4j 2.x <= 2.14.1

参考链接

https://github.com/apache/logging-log4j2

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

漏洞处置建议｜Apache Tomcat远程代码执行漏洞处置建议

Apache Tomcat是美国Apache软件基金会的一款轻量级Web应用服务器，该程序实现了对Servlet和JSP的支持。近日，Apache官方发布通告称将在最新版本中修复一个远程代码执行漏洞（CVE-2019-0232）。

在启用了enableCmdLineArguments的Windows上运行时，由于JRE将命令行参数传递给Windows的方式存在错误，CGI Servlet很容易受到远程执行代码的攻击。CGI Servlet默认是关闭的。在Tomcat 以下版本将触发此漏洞。

此漏洞触发条件：1）Windows；2）启用了CGIServlet（默认为关闭）；3）启用了enableCmdLineArguments（Tomcat 9.0.*版本默认为关闭）。

危害级别：【高危】

影响版本：

Apache Tomcat 9.0.0.M1to 9.0.17

Apache Tomcat 8.5.0 to8.5.39

Apache Tomcat 7.0.0 to7.0.93

漏洞验证：

本地测试验证如下。

天眼处置方案：

1、2019年4月12日之后，奇安信旗下的天眼新一代威胁感知系统已经可以检测Apache Tomcat远程执行代码漏洞（CVE-2019-0232），规则名称为：Windows上的Apache Tomcat远程执行代码（CVE-2019-0232），规则编号为：0x1002066F。建议用户升级至最新版本3.0.0415.10997或以上版本。

以下为天眼新一代威胁感知系统（TSS）上对应的告警详情：

漏洞处置建议｜Apache Tomcat远程代码执行漏洞处置建议