安全公告:华耀科技APV、AG、ASF产品均不受log4j2 RCE漏洞影响发表时间:2021-12-14 10:29:52来源:
Apache Log4j2 CRE安全漏洞(CVE-2021-44228)爆出后,华耀科技第一时间组织了内部安全团队对该问题进行了研究、验证。经详细排查,华耀科技APV、AG、ASF产品均不受该漏洞影响,特此公告。 同时,公司ASF Web应用防火墙团队对该漏洞进行了防护测试,ASF默认规则集能够有效防护此漏洞,并且无需升级规则库。此外,华耀也将针对此漏洞发布更具针对性的规则,建议用户开启ASL 更新 ,即可轻松抵御攻击。 防护效果展示: 漏洞载荷 防护效果 日志记录 以下是漏洞详情: 漏洞描述 Apache Log4j是一个基于Java的日志记录工具,Log4j是几种Java日志框架之一。该项目在Apache接手后进行了代码重构,解决了框架中的架构问题并在Log4j 2中提供了一个插件架构,这使其更具扩展性。用户可以更为精确的对日志进行细粒度的控制,支持将日志信息发送到服务器、写入到文件或是发送给GUI组件等,通过定义日志信息的级别、输出格式,发送参数来对日志进行更完善的管理。 Log4j 2.X中采用了LDAP的简单目录服务结构进行日志的查询。在进行递归查询时,JNDI方法在处理查询参数的过程中存在注入漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意参数以远程方式在目标服务器上执行恶意代码。 漏洞编号: CNVD-2021-95914 CVE-2021-44228 危害等级:严重 影响范围 Apache Log4j 2.x <= 2.15.0-rc1(据悉,官方rc1补丁有被绕过的风险) 已知受影响应用及组件: Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Apache Druid Apache Flink ElasticSearch Flume Dubbo Jedis Logstash Kafka 服务端临时缓解措施 1. 设置JVM启动参数-Dlog4j2.formatMsgNoLookups=true。 2. 尽量使用JDK 版本大于11.0.1、8u191、7u201、6u211,需要注意的是,即使是使用了 JDK 高版本也不能完全保证安全,依然存在本地绕过的情况。 3. 限制不必要的业务访问外网。 4. 采用 rasp 对lookup的调用进行阻断。 5. 采用 waf 对请求流量中的${jndi}及变体进行拦截。 服务端组件版本升级 1、如何确认Apache Log4j2相关组件版本 打开项目的pom.xml文件,查看log4j-core的version字段 2、升级Apache Log4j2所有相关应用到最新的 log4j-2.16.0-rc1 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.16.0-rc1 3、升级已知受影响的应用及组件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid等 |