蓝狮平台Log4j2是“核弹级”漏洞?魔学院专家这么说
知名的开源项目Apache Log4j2被曝出存在任意代码执行漏洞,危险等级“高危”!据说,截至到12月10日12点,就已发现近1万次利用该漏洞的攻击行为。消息一出,各大社交平台随即引发激烈讨论,厂商忙着更新规则、用户忙着修复、领导忙着指挥、程序猿们忙着加班……
Apache Log4j2是什么?而这个被戏称为核弹级的漏洞,又到底是如何产生的?
先来说说Apache Log4j2,只要是编程语言,就离不开打日志。蓝狮平台通过日志,我们可以清楚地了解程序的运行状况,排查运行中存在的问题。而Log4j2,是在Java技术栈中,用的比较多的一种日志输出框架。
设想我们准备通过日志输出一个Java对象,这个对象又不在程序中,它可能存在某个文件夹中,也可能存在网络的某个地方,这时该怎么办?
强大的Log4j2派上用场了,它不仅可以输出程序中的变量,还提供了一个叫Lookup的东西,用来输出更多内容。与此同时,它还帮我们把常见的查找途径都进行实现了,其中就包括JNDI。
简单来说,这个核弹级的漏洞就是Log4j2中存在JNDI注入漏洞,攻击者只需向目标输出一段代码,就可以触发漏洞,远程控制用户服务器。
一向重视客户信息安全的魔学院,早早就通过了安全等级保护三级认证,有知名安全领域公司腾讯云、知道创宇的众多安全产品护航,并未受此事件影响,蓝狮注册地址不过我们的技术安全团队仍在持续关注事态发展,确保能快速响应变化并处理。
对了,技术的小伙伴们还给魔妹普及了两个Log4j2漏洞的应急处理方法:
禁用Lookup或JNDI服务
因为该漏洞的罪魁祸首是Lookup和JNDI,所以可以直接修改配置文件log4j2.formatMsgNoLookups=True或禁用JNDI服务。值得注意的是,一般产生问题的服务都是线上已经在跑的服务,禁用的时候要注意评估一下是否允许哦。
升级Apache Log4j
这次漏洞产生的影响范围主要是在Apache Log4j 2.x <= 2.14.1,所以另一个解决方法就是,直接升级Log4j。
正在刷手机的你,写程序时用到Log4j2了吗?有没有某个地方的输出,混进来外部参数了呢?赶快行动起来,来个翻天覆地的检查吧。
噢!评论已关闭。