据外媒报道,在全球网络安全专家仍在努力修补或缓解编号CVE-2021-44228的 Log4j2漏洞的时候,12月14日,业内安全研究员曝光了第二个涉及Apache Log4j的漏洞,专家们将新漏洞描述为:Apache Log4j 2.15.0中针对CVE-2021-44228的修复“在某些非默认配置中不完整”。 这可能允许攻击者使用JNDI查找模式制作恶意输入数据,从而导致拒绝服务 (DOS) 攻击。 这代表着,各大互联网安全团队或许需要再次熬夜更新补丁或更新版本。
目前,Apache已经针对这个问题发布了一个补丁Log4j 2.16.0。CVE表示,Log4j 2.16.0 可以通过删除对消息查找模式的支持并默认禁用JNDI功能来解决该问题。它指出,通过从类路径中删除JndiLookup类,可以在以前的版本中缓解该问题。在官方新发布的Log4j 2.16.0版本中,已默认完全禁用该功能。
12月14日,CNVD漏洞平台在最新发布的Apache Log4j2远程代码执行漏洞排查及修复手册给到的官方修复建议推文中也提出,建议用户及时前往Apache网站(https://logging.apache.org/log4j/2.x/download.html)更新升级至最新版本2.16.0。
同时,CNVD漏洞平台还给出了6条临时修复措施,用户任选其一即可暂时规避攻击风险:
(1)添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true;
(2)在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;
(3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;
(4)限制受影响应用对外访问互联网;
(5)禁用JNDI。如在spring.properties里添加spring.jndi.ignore=true;
(6)部署使用第三方防火墙产品进行安全防护,并更新WAF、RASP规则等。
此外,用户也可参考多家安全厂商最新发布的安全建议,链接地址如下:
1 奇安信科技集团股份有限公司 https://mp.weixin.qq.com/s/um4yi15P5bYC5kY1SDR3Uw
2 绿盟科技集团股份有限公司 http://blog.nsfocus.net/apache-log4j2/
3 上海斗象信息科技有限公司 https://vas.riskivy.com/vuln-detail?id=105
4 深信服科技股份有限公司 https://mp.weixin.qq.com/s/XL8Br8mGoJe71IWU4wyuGQ
5 北京数字观星科技有限公司 https://mp.weixin.qq.com/s/fFBaMAls7TFVg8UpEtZAgg
6 杭州安恒信息技术股份有限公司 https://mp.weixin.qq.com/s/jp_jBd9SN8pHy3jYc1rnTg
7 安天科技股份有限公司 https://www.antiy.com/response/20211210.html
8 启明星辰信息技术集团股份有限公司 https://mp.weixin.qq.com/s/SgBhyUfRff4YISsH5_PVTA
9 北京天融信网络安全技术有限公司 https://mp.weixin.qq.com/s/IT312b89Nh-cCDUGC-b-Zw
10 远江盛邦(北京)网络安全科技股份有限公司 https://mp.weixin.qq.com/s/cjvxyKhhZuwmp3qD1wBEqQ
11 东软集团股份有限公司 https://mp.weixin.qq.com/s/TOX6hbZ_6pNRvuYCjHPC-g