Log4j最新高危漏洞
前几天谈到不安全的反序列化,正好最新的log4j高危漏洞也是因为不安全的反序列化,我们一起来看一下。
Log4j1.2里有一个SocketServer类,会受到不安全反序列化的影响。对该漏洞的成功利用可以允许攻击者在受害应用的上下文中执行任意代码。即使是不成功的尝试,也足以造成拒绝服务攻击。因为攻击的原理在前几天刚说过,这次就不再赘述了。
受影响的版本
Apache Log4j 1.2
Apache Log4j 1.2.13
Apache Log4j 1.2.17
Apache Log4j 1.2.6
Apache Log4j 1.2.7
Apache Log4j 1.2.8
Apache Log4j 1.2.9
建议
以下行动可以缓解但不限于缓解该log4j漏洞
部署基于网络的入侵检测系统,监视网络流量中的恶意行为
部署NIDS监控异常或者可以行为,包括但不限于NOP Sled(一种缓冲区溢出攻击,我以前有专门发文)以及非预期的流出或流入流量
不接受或执行来自未知或者不可信源的文件
实现多层次冗余安全防御
用最先权限的非管理员账号运行应用
升级log4j
参考
Apache - Add support for filtering input in TcpSocketServer and UdpSocketServer
Apache - Apache Homepage
RedHat - Bug 1785616 (CVE-2019-17571) - CVE-2019-17571 log4j: deserialization of untruste
log4j - Log4j Homepage