Apache Log4j có lỗ hổng thực thi mã từ xa , ảnh hưởng lớn tới ghi nhật ký Java

VNZ-NEWS
Vn-Z.vn Ngày 11 tháng 12 năm 2021, chi tiết về lỗ hổng thực thi mã từ xa trong Apache Log4j gần đây đã được tiết lộ. Những kẻ tấn công có thể sử dụng lỗ hổng này để thực thi mã từ xa

Apache Log4j2 là một khung ghi nhật ký Java tuyệt vời. Công cụ này viết lại Log4j và giới thiệu rất nhiều tính năng phong phú. Khung nhật ký được sử dụng rộng rãi trong phát triển hệ thống kinh doanh để ghi lại thông tin nhật ký. Trong hầu hết các trường hợp, nhà phát triển có thể viết thông báo lỗi do người dùng nhập vào nhật ký. Vì một số chức năng của Apache Log4j2 có chức năng phân tích đệ quy, những kẻ tấn công có thể trực tiếp tạo ra các request độc hại kích hoạt các lỗ hổng thực thi mã từ xa.

Khai thác lỗ hổng bảo mật không yêu cầu cấu hình đặc biệt. Nhóm bảo mật xác minh rằng Apache Struts2, Apache Solr, Apache Druid, Apache Flink, v.v. đều bị ảnh hưởng. Vì thành phần này được sử dụng rộng rãi, người dùng Apache Log4j2 cần thực hiện các biện pháp bảo mật càng sớm càng tốt để ngăn chặn các cuộc tấn công từ lỗ hổng bảo mật bị khai thác.


Apache-Log4j.png

Lỗ hổng thực thi mã từ xa Apache Log4j được đánh giá là nghiêm trọng

Phiên bản bị ảnh hưởng Apache Log4j 2.x <= 2.14.1

Lời khuyên bảo mật

1. Nâng cấp tất cả các ứng dụng liên quan tới Apache Log4j2 lên phiên bản log4j-2.15.0-rc1 mới nhất, tại đây

2. Nâng cấp các ứng dụng và thành phần bị ảnh hưởng, chẳng hạn như spring-boot-strater-log4j2 / Apache Solr / Apache Flink / Apache Druid

Ngoài các biên pháp trên các bạn cần đồng thời áp dụng các biện pháp tạm thời sau để ngăn vá các lỗ hổng bảo mật:

1) Thêm tham số jvm -Dlog4j2.formatMsgNoLookups = true;
2) Thêm tệp cấu hình log4j2.component.properties dưới classpath ứng dụng, nội dung của tệp là log4j2.formatMsgNoLookups = true;
3) Sử dụng 11.0.1, 8u191, 7u201, 6u211 và phiên bản cao hơn của JDK;
4) Triển khai và sử dụng các sản phẩm tường lửa của bên thứ ba giúp bảo vệ an ninh.

Có thông tin cho rằng lỗ hổng thực thi mã từ xa đăng nhập Apache Log4j2 do đó cũng ảnh hưởng đến tất cả các máy chủ Minecraft. Lỗ hổng này ảnh hưởng tới các biên bản Apache log4j2 >= 2.0, <= 2.14.1. Ảnh hưởng tới tất cả máy chủ và tất cả các phiên bản Minecraft, ngoại trừ Mohist 1.18.
Theo Wiki Apache Log4j là một trình ghi nhật ký trên nền tảng Java. Ban đầu, Log4j được phát triển bởi Ceki Gülcü và hiện nay là một dự án của Quỹ Phần mềm Apache. Log4j là một trong một vài khung ghi nhật ký Java. Gülcü bắt đầu các dự án SLF4J và Logback, với ý định tạo tiền đề cho Log4j


Vn-Z.vn team tổng hợp