开源网安警示,Apache Log4j远程代码执行漏洞 | 风险漏洞提示
开源网安研究院注意到,一个 Apache Log4j2 的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码。SourceCheck 产品对此次漏洞可以提供在线和离线升级包来对此协助筛查。
漏洞分析
Apache Log4j2 是 一个基于Java的日志记录工具,该工具重写了是 Log4j ,且引入了大量丰富的特性。Apache log4j-2 是 Log4j 的升级,这个日志框架可以被用于业务系统开发以及记录日志信息。大多情况下,开发者可能会把用户输入导致的错误信息写入日志中。
近日经专家团队检测发现,该漏洞只要外部用户输入数据就会被日志记录,即可造成远程代码执行。成功利用该漏洞的攻击者可以在目标设备上远程执行恶意代码。
影响版本:
Apache-log4j2 V2.0-V2.14.1版本
漏洞等级:
高危,影响范围极广,危害极大。
漏洞状态:
| 漏洞详情 | POC | EXP | 在野利用 |
|---|---|---|---|
| 已公开 | 已知 | 已知 | 已到来 |
修复建议:
官方已发布更新,受影响的系统请尽快更新到最新版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
开源网安解决方案:
SourceCheck 开源组件安全及合规管理平台,是开源网安公司提供的软件成分分析 SCA 产品,用于第三方组件安全管控,能精准识别软件组件安全性、代码及许可合规性,包括企业组件使用管理、组件使用合规性审计、新漏洞感知预警、开源代码知识产权审计等,支持对源码及发布包检测,是 OWASP Top 10 中“使用含有已知漏洞的组件”安全风险的最佳解决方案。
适用于软件安全开发生命周期(S-SDLC)开发阶段与测试阶段的第三方组件安全检测,特别在大型分布式应用项目场景下,SourceCheck 平台的部署效率与实施效果更佳,可帮助企业快速管理开源组件资产,及时获取开源组件漏洞情报,有效降低开源组件安全风险,让企业交付更安全的软件。
开源网安 SourceCheck 产品对此次漏洞可以提供在线和离线升级包来对此协助筛查。