相信大家都已经知晓 Apache Log4j2 远程代码执行漏洞了,洞态目前已将该漏洞收录进漏洞库。
洞态可在整理资产的同时自动化检测该漏洞,并定位到具体代码,极大提高修复效率。
漏洞描述
Apache Log4j2 是一款优秀的 Java 日志框架。由于 Apache Log4j2 某些功能存在递归解析功能。
攻击者可直接构造恶意请求,触发远程代码执行漏洞,漏洞利用无需特殊配置。
▶▶ 只要日志内容可控即可触发
安全建议
- 排查应用是否引入了 Apache Log4j2 Jar 包,若存在依赖引入,则可能存在漏洞影响。
请尽快升级 Apache Log4j2 所有相关应用到最新的
log4j-2.15.0-rc2版本,地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
- 升级已知受影响的应用及组件。
排查方案
- 安装洞态本地版本或使用洞态 SaaS 版本:
iast.io
- 部署洞态 IAST java agent。
- 通过洞态 Agent 启动应用,等待报告上传结束。
- 查看洞态web端“组件管理”功能,搜索“log4j-core”。
