Re: [新闻] 日志框架爆漏洞,iCloud、Minecraft、Ste
楼主: xxxxae86 (éžæ´²å¤§è‰åŽŸ) 2021-12-13 14:44:32
※ 引述《wizardfizban (疯法师)》之铭言:
: 日志框架爆漏洞,iCloud、Minecraft、Steam 等云端服务密码全受影响
: https://chinese.engadget.com/log4shell-vulnerability-log4j-054246291.html
: 深泛应用到不同网络服务,包括 Apple iCloud、Steam、Minecraft、Amazon、Twitter、
: Minecraft 等的开源日志框架 Log4j,被发现存有名为 Log4Shell 漏洞,导致相关服务
: 的密码数据都有外泄的可能。据 The Verge 的报导,日志框架 Log4j 的作用是用以记录
: app 和服务发生过的所有事件,以便开发者可以分析效能,同时可以用来除错。
: 据 Ars Technika 的说法,首个公布发现了这个 Log4Shell 漏洞的是 Minecraft,他们
: 表示这漏洞会让骇客可以在游戏里执行恶意程式。然而在这个发现之后不久,曾经阻止
: WannaCry 散播的安全研究员 Marcus Hutchins,就表示这个 Log4Shell 有着极高严重
: 性,因为有上百万个不同 app 都有使用 Log4j 框架。
: 具体来说,Log4Shell 漏洞可让骇客在目标服务的服务器中执行恶意程序并下载数据,而
: 且执行的方法非常简单,只需要在服务里留言就可以触发动作。以 Minecraft 为例,
: Hutchins 表示只需要在留言区中张贴讯息就可以了。至于要在 Apple 服务器中触发漏洞
: ,app 安全研究公司 LunaSec 表示更是简单得只要更改 iPhone 名称就可以。
: 幸好的是 Log4j 已经修复问题,而受影响的服务,包括 Minecraft 和 Cloudflare 也个
: 别有补丁来保护使用者。还有其他在使用 Log4j 框架的服务,也请各自的开发者尽快更
: 新。
: ====
: 之前麦块那发现的问题影响这么大哦!多数云端服务都有影响?
可以参考这一篇
https://www.lunasec.io/docs/blog/log4j-zero-day/
主要原因跟结果就是
log4j(version 2) was discovered that results in Remote Code Execution(REC) by logging a certain string.
影响版本为
Apache log4j2 >= 2.0, <= 2.14.1
如果是 >=2.9.1以及之后的版本的话可以在
log4j2.component.properties 增加以下的内容
log4j2.formatMsgNoLookups=True
log4j.formatMsgNoLookups=True
2.0~2.10 版本可以在 jvm 启动参数中加上
-Dlog4j2.formatMsgNoLookups=true 与
-Dlog4j.formatMsgNoLookups=true 关闭功能
或是把系统变量 "FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS" 调成 true 也可以
然后现在还有提到 Apache Tomcat 上的 org.Apache.naming.factory.BeanFactory 来攻击的事情
https://www.veracode.com/blog/research/exploiting-jndi-injections-java
你各位自家产品有用 log4j.core 记得检查一下R
spring boot 是只有 interface 用到,应该是没问题
: 日志框架爆漏洞,iCloud、Minecraft、Steam 等云端服务密码全受影响
: https://chinese.engadget.com/log4shell-vulnerability-log4j-054246291.html
: 深泛应用到不同网络服务,包括 Apple iCloud、Steam、Minecraft、Amazon、Twitter、
: Minecraft 等的开源日志框架 Log4j,被发现存有名为 Log4Shell 漏洞,导致相关服务
: 的密码数据都有外泄的可能。据 The Verge 的报导,日志框架 Log4j 的作用是用以记录
: app 和服务发生过的所有事件,以便开发者可以分析效能,同时可以用来除错。
: 据 Ars Technika 的说法,首个公布发现了这个 Log4Shell 漏洞的是 Minecraft,他们
: 表示这漏洞会让骇客可以在游戏里执行恶意程式。然而在这个发现之后不久,曾经阻止
: WannaCry 散播的安全研究员 Marcus Hutchins,就表示这个 Log4Shell 有着极高严重
: 性,因为有上百万个不同 app 都有使用 Log4j 框架。
: 具体来说,Log4Shell 漏洞可让骇客在目标服务的服务器中执行恶意程序并下载数据,而
: 且执行的方法非常简单,只需要在服务里留言就可以触发动作。以 Minecraft 为例,
: Hutchins 表示只需要在留言区中张贴讯息就可以了。至于要在 Apple 服务器中触发漏洞
: ,app 安全研究公司 LunaSec 表示更是简单得只要更改 iPhone 名称就可以。
: 幸好的是 Log4j 已经修复问题,而受影响的服务,包括 Minecraft 和 Cloudflare 也个
: 别有补丁来保护使用者。还有其他在使用 Log4j 框架的服务,也请各自的开发者尽快更
: 新。
: ====
: 之前麦块那发现的问题影响这么大哦!多数云端服务都有影响?
可以参考这一篇
https://www.lunasec.io/docs/blog/log4j-zero-day/
主要原因跟结果就是
log4j(version 2) was discovered that results in Remote Code Execution(REC) by logging a certain string.
影响版本为
Apache log4j2 >= 2.0, <= 2.14.1
如果是 >=2.9.1以及之后的版本的话可以在
log4j2.component.properties 增加以下的内容
log4j2.formatMsgNoLookups=True
log4j.formatMsgNoLookups=True
2.0~2.10 版本可以在 jvm 启动参数中加上
-Dlog4j2.formatMsgNoLookups=true 与
-Dlog4j.formatMsgNoLookups=true 关闭功能
或是把系统变量 "FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS" 调成 true 也可以
然后现在还有提到 Apache Tomcat 上的 org.Apache.naming.factory.BeanFactory 来攻击的事情
https://www.veracode.com/blog/research/exploiting-jndi-injections-java
你各位自家产品有用 log4j.core 记得检查一下R
spring boot 是只有 interface 用到,应该是没问题
作者: ssccg (23) 2021-12-13 15:51:00
基本上就是不能把不可信任的资料丢给jndi lookup,都有injection风险,而这次log4j事件吓人的地方是专门用来塞各种不可信任的资料的log library,居然自己在做jndi lookup
