安全公告:华耀科技APV、AG、ASF产品均不受log4j2 RCE漏洞影响

发表时间:2021-12-14 10:29:52来源:

       Apache Log4j2 CRE安全漏洞(CVE-2021-44228)爆出后,华耀科技第一时间组织了内部安全团队对该问题进行了研究、验证。经详细排查,华耀科技APV、AG、ASF产品均不受该漏洞影响,特此公告。

       同时,公司ASF Web应用防火墙团队对该漏洞进行了防护测试,ASF默认规则集能够有效防护此漏洞,并且无需升级规则库。此外,华耀也将针对此漏洞发布更具针对性的规则,建议用户开启ASL 更新 ,即可轻松抵御攻击。

防护效果展示:

漏洞载荷

图片

防护效果

图片

日志记录

图片


以下是漏洞详情:

漏洞描述

Apache Log4j是一个基于Java的日志记录工具,Log4j是几种Java日志框架之一。该项目在Apache接手后进行了代码重构,解决了框架中的架构问题并在Log4j 2中提供了一个插件架构,这使其更具扩展性。用户可以更为精确的对日志进行细粒度的控制,支持将日志信息发送到服务器、写入到文件或是发送给GUI组件等,通过定义日志信息的级别、输出格式,发送参数来对日志进行更完善的管理。

Log4j 2.X中采用了LDAP的简单目录服务结构进行日志的查询。在进行递归查询时,JNDI方法在处理查询参数的过程中存在注入漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意参数以远程方式在目标服务器上执行恶意代码。

漏洞编号:  CNVD-2021-95914   CVE-2021-44228

危害等级:严重

影响范围

Apache Log4j 2.x <= 2.15.0-rc1(据悉,官方rc1补丁有被绕过的风险)

已知受影响应用及组件:

Spring-Boot-strater-log4j2

Apache Struts2

Apache Solr

Apache Druid

Apache Flink

ElasticSearch

Flume

Dubbo

Jedis

Logstash

Kafka

服务端临时缓解措施

1. 设置JVM启动参数-Dlog4j2.formatMsgNoLookups=true。

2. 尽量使用JDK 版本大于11.0.1、8u191、7u201、6u211,需要注意的是,即使是使用了 JDK 高版本也不能完全保证安全,依然存在本地绕过的情况。

3. 限制不必要的业务访问外网。

4. 采用 rasp 对lookup的调用进行阻断。

5. 采用 waf 对请求流量中的${jndi}及变体进行拦截。

服务端组件版本升级

1、如何确认Apache Log4j2相关组件版本

打开项目的pom.xml文件,查看log4j-core的version字段

图片

2、升级Apache Log4j2所有相关应用到最新的 log4j-2.16.0-rc1 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.16.0-rc1

3、升级已知受影响的应用及组件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid等


行业解决方案

金融

教育

企业

能源


官方服务号
售前:010-844466889转131   | 售后:400-600-7878,support@arraynetworks.com.cn
公司地址:北京市朝阳区亮马桥路甲40号二十一世纪大厦B座10层1001-1017室