漏洞描述:
Apache log4j2 2.0 - 2.14.1 版本均受影响
Log4j存在远程代码执⾏漏洞,该漏洞产⽣的原因是SocketServer类对于监听获取到的数据并没有进⾏有效的安全验证,直接进⾏反序列化处理。攻击者可以传⼊恶意的序列化数据对漏洞进⾏利⽤,向服务器发起远程代码执⾏攻击。rmi远程⽅法调⽤:jvm与jvm进程做远程交互的服务。
攻击⽅式:
⿊客部署nginx服务器和rmi服务器,nginx中放⼊攻击脚本(是个class⽂件)。服务器的rmi参数必须是true.
通过远程注⼊⽅式(rmi协议),让服务器通过log4j2发送rmi请求到rmi服务器,rmi服务器会到nginx服务器中下载攻击脚本到本地,通过类加载机制执⾏。
JNDI注⼊简单来说就是在JNDI接⼝在初始化时,如:InitialContext.lookup(URI),log4j2的logger.info(URI)。如果URI可控,那么客户端就可能会被攻击
解决⽅法:
1. 升级log4j2版本,更新⾄Apache Log4j 2.15.0-rc2 版本(最佳⽅法)。2. 设置服务器⽩名单,不会再访问⿊客服务器3. rmi参数改为flase,rmi请求不会被执⾏。
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- haog.cn 版权所有 赣ICP备2024042798号-2
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务