log4j2漏洞各大厂应对措施
真是平地一声雷,一个超高级别的bug把所有厂商都炸醒了。本来是可以划水半天的大周五,程序员们都得起来升版本发布代码修复这个问题了。具体漏洞的危害和原理,其他的回答里已经写的够详细了,我就整理一下各个大厂的解决方案,给大家一个参考吧。
腾讯
官方漏洞描述
漏洞编号:暂无
漏洞等级:高后_ 该漏洞影响范围极广,危害极大
CVSS 评分:10(最高级)
受影响版本:Apache log4j2 2.0 - 2.14.1
安全版本:Apache log4j-2.15.0-rc2 (2.15.0-rc1 版,经腾讯安全专家验证可以被绕过)
漏洞描述:该漏洞只需要外部用户输入的恶意代码被日志记录,即可触发代码执行,该漏洞使用者能在目标设备上远程执行任意恶意代码。
修复建议
官方补丁
- 升级 Apache Log4j 所有相关应用到最新的 Log4j-2.15.0-rc1 版本。
- 补丁地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
缓解措施:
- jvm 参数 -Dlog4j2.formatMsgNoLookups=true
- log4j2.formatMsg Nolookups=True
点评:升级补丁肯定是根除的方法,不过也提供了暂时缓解措施。
美团
一、漏洞描述
log4j2是日志框架Log4j的升级,在公司内被广泛使用,经信息安全中心监测,log4j2存在rce漏洞。
二、漏洞原理
Log4j2 中的某标签的属性中未对name中协议限制,导致攻击者可构造恶意标签,实现命令执行。
如果Log4j2需要打印的消息中有外部攻击者可控的变量,或打印来自上游不可控的数据,攻击者可构造恶意标签,在业务服务器上执行恶意命令,导致代码、密码等敏感文件泄露,公司服务器被入侵,作为跳板机向IDC其他机器横向攻击。利用门槛低,危害极大。目前安全组已复现该漏洞。
三、修复方式、自查方法
修复原理
org.apache.logging.log4j:log4j-core 在 2.10.0 以上增加了不启用 lookup 的配置项,但是默认关闭,官方暂无提供默认开启的正式版本。
美团日志框架(xmd-log4j2)封装了log4j2,在1.4.1将开关默认打开,防御上面的攻击场景。
美团内大部分业务使用xmd-log4j2,xmd-log4j2会引入log4j2,故使用com.meituan.inf:xmd-log4j2引入的org.apache.logging.log4j:log4j-core,需升级com.meituan.inf:xmd-log4j2到最新版本(1.4.1)完成修复。注:切勿使用xmd-log4j2 2.0.0-Snapshot包,这不是修复包。
通过maven配置更新xmd-log4j2,使用最新版本(1.4.1),或使用 inf-bom 1.4.14.1。
点评:美团安全组还复现了一下漏洞,给团子点个赞。美团因为全部业务都接入了美团日志框架(xmd-log4j2),所以直接升级公司的统一框架即可解决该漏洞,可以说是非常人性化了。目前公司要求互联网应用及对公网提供服务的应用最迟须在24小时内完成修复,所以,美团的发布系统PLUS已经挂了……
阿里
使用了rasp,加了拦截策略。原理算是字节码增强,通过配置的规则,检测到了攻击就进行上报,或者直接抛出异常。这算是个防御手段,按照阿里人的说法,目前是止血。
点评:阿里并没有像其他公司那样要求全公司升级log4j的版本,这一点感觉有些奇怪。不过偷偷摸摸的就把问题都拦截住了,也没有折腾大家去发版升级,也算是技术强悍的体现了。后续操作持续关注中……
字节
安全措施
安全部门将对公司全部 Java 服务进行组件扫描与升级,禁止低版本 Log4j 组件在线上运行。
同时,我们也将开启针对低版本、高风险组件(Log4j2 和 FastJSON)的安全卡点。
升级措施
请所有正在线上运行的Java服务相关研发同学自查:
- 服务是否使用 Log4j 2.x.x 版本(包括直接、间接依赖;1.x 版本不受影响)
- 服务是否使用 FastJSON < 1.2.69 版本(1.2.69 是目前允许的最低安全版本)
如不清楚服务具体依赖的组件信息,请通过此表格查询依赖关系(控制可见范围,需单独申请权限)
本次修复仅针对 Java 服务端,使用 Java 的 Android 客户端同学不受影响
若服务在上述范围内,无论对内/对外服务,请同学立刻将服务依赖升级到以下安全版本:
log4j 2.15.0:https://logging.apache.org/log4j/2.x/download.html
FastJSON 1.2.76: https://github.com/alibaba/fastjson/releases
点评:通过扫描Java代码仓库来排查没有升级的项目,也算是地毯式搜索了。并且禁止禁止低版本 Log4j 组件,连带着经常出问题的FastJSON也一并加入安全卡点并进行升级,也算是未雨绸缪了。
其他互联网大厂应对措施正在跟进中……
log4j2漏洞各大厂应对措施相关推荐
- 关于 CVE-2021-44228 Log4j2 漏洞的相关应对汇总说明(包含中英文客户公告)
微软产品团队和安全团队正在积极的调查本次事件,以下是截止到目前的最新信息: 在微软产品方面,目前尚未发现有产品受到本次漏洞的影响,包括(Azure Application Gateway, Azure ...
- 路由器、交换机及防火墙漏洞分析及应对措施
[TechTarget中国原创] 远程连接到网络资源已经成为现代企业很多员工的工作需要.无论这种连接是通过VPN.远程桌面还是安全壳(SSH)进行的,这种连接将不可避免地穿过装载着路由器.交换机和防火 ...
- Log4j2漏洞发展历程及解决方案
背景 最近互联网技术圈最火的一件事莫过于Log4j2的漏洞了.同时也涌现出了各类分析文章,关于漏洞的版本.漏洞的原因.漏洞的修复.程序员因此加班等等. 经常看我文章的朋友都知道,面对这样热门有意思的技 ...
- 阿里云被工信部暂停合作,惹事的Log4j2漏洞该如何解决?
近日,一众开发和维护人员正马不停蹄地开始修补 Log4j2 漏洞,但要真正修复完毕,还有很多工作要做. 最近几天,各家互联网大厂的程序员朋友们,都快被 Log4j2 漏洞折磨疯了,纷纷启动自家软件的漏 ...
- 带你掌握二进制SCA检测工具的短板及应对措施
摘要:本文针对二进制SCA检测技术短板所面临的一些特殊场景.检测影响及应对措施进行详细分析和说明,希望对使用二进制SCA检测工具的测试和研发人员有所帮助. 本文分享自华为云社区<二进制SCA检测 ...
- 恶意软件的历史和应对措施
美国前赛博安全主管Richard Clarke曾说:"如果你在咖啡上的开销比IT安全方面还要多,你将受到黑客的攻击,而且是咎由自取."本文讲述恶意软件的历史和应对的基本措施,希望能 ...
- 再严重的 Log4j2 漏洞也伤害不了 Java
点击上方"程序猿技术大咖",关注并选择"设为星标" 回复"加群"获取入群讨论资格! 作者丨Erik Costlow 译者丨核子可乐李冬梅 来 ...
- 一问三不知之log4j2漏洞简析
1.log4j2漏洞介绍 1.1简介 Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,同时修复了Logback架构 ...
- 无线网络常见安全风险及应对措施
目录 无线网络面临的安全风险 主要风险及应对措施 问题一:容易发现无线局域网 问题二:非法的AP 问题三:经授权使用服务 问题四:服务和性能的限制 问题五:地址欺骗和会话拦截 问题六:流量分析与流量侦 ...
最新文章
- win32ctypes.pywin32.pywintypes.error: (2, ‘LoadLibraryEx‘, ‘系统找不到指定的文件。‘)
- python进程线程处理模块_python程序中的线程操作 concurrent模块使用详解
- 商丘网络推广分析网站留不住用户的原因及SEO解决方法
- myeclipse 清理项目缓存的几大步骤
- 乐视秒杀架构解读:从零开始搭建百万每秒订单系统
- 64匹马8个跑道需要多少轮才能挑选出最快的4匹马?
- 简单上手腾讯X5页面浏览
- Linux性能优化方向及相关工具
- java线程基础_Java多线程基础
- lsqcurvefit拟合结果为复数_使用科学计算器计算复数与相量(提高篇)
- 最值钱无人车团队组织架构曝光:Waymo总共不到千人,2/3是工程师
- Dubbo 快速入门教程
- R语言进行主成分分析PCA和探索性因子分析EFA的常用步骤:准备资料、选择因子模型、提取多少主成分/因子、提取主成分或者因子、旋转主成分或者因子、数据结果解读、计算主成分或因子得分(或者系数)
- word背景图片设置a4纸大小教程
- php strpos 区分大小写么?,PHP strpos() 函数
- IOS APP 隐私政策
- Ping计算机名和Ping网站域名都是由DNS解析吗?
- 日期和身份证年龄计算相关小工具
- GBase 8s HAC集群简介
- 一分钟知道屏幕分辨率、尺寸、PPI之间的关系!!!