log4j2安全漏洞
漏洞描述:
Apache log4j2 2.0 - 2.14.1 版本均受影响log4j2 delete
Log4j存在远程代码执⾏漏洞,该漏洞产⽣的原因是SocketServer类对于监听获取到的数据并没有进⾏有效的安全验证,直接进⾏反序列化处理。攻击者可以传⼊恶意的序列化数据对漏洞进⾏利⽤,向服务器发起远程代码执⾏攻击。
rmi远程⽅法调⽤:jvm与jvm进程做远程交互的服务。
攻击⽅式:
⿊客部署nginx服务器和rmi服务器,nginx中放⼊攻击脚本(是个class⽂件)。
服务器的rmi参数必须是true.
通过远程注⼊⽅式(rmi协议),让服务器通过log4j2发送rmi请求到rmi服务器,rmi服务器会到nginx服务器中下载攻击脚本到本地,通过类加载机制执⾏。
JNDI注⼊简单来说就是在JNDI接⼝在初始化时,如:InitialContext.lookup(URI),log4j2的logger.info(URI)。如果URI可控,那么客户端就可能会被攻击
解决⽅法:
1. 升级log4j2版本,更新⾄Apache Log4j
2.15.0-rc2 版本(最佳⽅法)。
2. 设置服务器⽩名单,不会再访问⿊客服务器
3. rmi参数改为flase,rmi请求不会被执⾏。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。