CVE-2021-4104应急处理 |
| 泉源:九游会网络 公布工夫:###nbsp; 欣赏次数: |
一、毛病形貌: 当打击者具有对Log4j设置装备摆设的写拜访权限时,Log4j 1.2中的JMSAppender容易遭到不受信托数据反序列化的打击。打击者可以提供TopicBindingName和TopicConnectionFactoryBindingName设置装备摆设,招致JMSApender实行JNDI哀求,从而以与CVE-2021-44228相似的方法实行近程代码。 留意:当专门设置装备摆设利用JMSApender时,此题目仅影响Log4j 1.2,这不是默许设置。Apache Log4j 1.2于2015年8月晦止利用。用户应该晋级到Log4j 2,由于它办理了曩昔版本中的很多其他题目。 二、毛病使用方法: 由于此毛病的使用方法与CVE-2021-44228相反,已有规矩可以满意打击检测必要。 三、处理办法: (一)晋级Log4j到最新版本 (二)若临时无法举行晋级操纵,可先用下列步伐举行暂时缓解: 1、添加jvm参数启动:-Dlog4j2.formatMsgNoLookups=true
2、在使用的classpath下添加log4j2.component.properties设置装备摆设文件,文件内容为:log4j2.formatMsgNoLookups=true
3、设置体系情况变量 LOG4J_FORMAT_MSG_NO_LOOKUPS=true 4、利用下列下令,移除log4j-core包中的JndiLookup类文件: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class 注:当且仅当Apache Log4j >= 2.10版本时,可利用1、2、3、4的任一步伐举行防护。 5、接纳人工方法禁用JNDI,例:在spring.properties里添加spring.jndi.ignore=true 6、发起利用JDK在11.0.1、8u191、7u201、6u211及以上的高版本,可在肯定水平避免RCE。 7、限定受影呼应用对外拜访互联网,并在界限对dnslog相干域名拜访举行检测。 局部大众dnslog平台如下: ceye.io dnslog.link dnslog.cn dnslog.io tu4.org burpcollaborator.net s0x.cn |
| ### ### |
