Apache Log4j 1.2.X 反序列化远程代码执行漏洞

iso60001  1556天前

22.png

近日,白帽汇安全研究院发现网络上出现针对Apache Log4j应用的反序列化远程代码执行漏洞。在Log4j 1.2.X版本中包含一个SocketServer类,在侦听日志数据时,会对攻击者发送的恶意数据进行反序列化,造成远程代码执行。

概况

Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。 ——百度百科

Apache Log4j主要用于企业内部,较少暴露在公网上,很难对其全球分布有全面的认识。

漏洞原理

漏洞存在于org.apache.log4j.net.SocketServer类中,与CVE-2017-5645反序列化漏洞类似,攻击者只要想向4560端口发送恶意数据,组件变会将其反序列化成对象,执行所构造的payload。

漏洞影响

影响1.2到1.2.17版本的Apache Log4j。

CVE编号

CVE-2019-17571

修复建议

及时升级到最新版:https://logging.apache.org/log4j/2.x/download.html

参考

[1] https://nvd.nist.gov/vuln/detail/CVE-2019-17571

[2] https://mp.weixin.qq.com/s/okU2y0izfnKXXtXG3EfLkQ

[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17571

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论