Log4j 第三次发布漏洞补丁,漏洞或将长存

整理 | 郑丽媛、禾木木

出品 | CSDN

这几天,Apache Log4j 2 绝对是众多 Java 程序员提到的高频词之一:由于 Apache Log4j 2 引发的严重安全漏洞,令一大批安全人员深夜修 Bug、打补丁。此次漏洞更是因为其触发简单、攻击难度低、影响人群广泛等特点,被许多媒体形容为“核弹级”漏洞
自 12 月 9 日 Apache Log4j 2 漏洞曝光以来,尽管各大企业都为此紧急引入了保护机制,但黑客依旧在想法设法绕过限制利用漏洞。
近日,Apache团队在发现2.16版本的问题后,又发布新的Log4j补丁2.17.0,这已经是Log4j大规模攻击事件后第3个漏洞补丁。
2.16 版本“在查找评估中并不能总是防止无限递归”,并解释说容易收到拒绝服务漏洞的攻击,该漏洞CVSS评分为7.5。
此版本的问题是由 Akamai Technologies 的首席高级业务经理Hideki Okamoto和一位匿名漏洞研究人员发现的。
当日志配置使用带有Context Lookups的非默认模式布局(例如:$${ctx:loginId})时,控制MDC(映射调试上下文)输入数据的攻击者可以恶意输入包含递归Lookup的数据,导致StackOverflowError。
针对这个漏洞Apache给出了三种缓解措施。关注公众号:程序员开源社区,回复:666领取资料 。
  • 第一就是更新2.17.0补丁。
  • 第二种方法是在日志记录配置的PatternLayout中,用Thread Context Map patterns (%X、%mdc 或 %MDC)替换 Context Lookups(${ctx:loginId} 或 $${ctx:loginId} 等)。
  • 最后一种办法就是在配置中,直接删除对Context Lookups的引用。
不过,Apache解释只有“log4j-core JAR”文件受2.16版本中漏洞的影响。仅使用“log4j-api JAR”文件而不使用“log4j-core JAR”文件不会受到影响。

Log4j 第三次发布漏洞补丁,漏洞或将长存

无法估量的潜在危害


据 CPR 统计,在 Apache Log4j 2 漏洞发现早期的 12 月 10 日,黑客尝试利用该漏洞进行攻击的次数仅有几千次,但这一数据在隔天却增至 4 万次。而截至 Check Point 发布该报告,即漏洞爆发 72 小时后,仅 CPR 传感器捕捉到利用该漏洞尝试攻击的行为就已超过 83 万次
Log4j 第三次发布漏洞补丁,漏洞或将长存
不仅攻击次数在持续攀升,基于该漏洞的新变种也在短时间内迅速衍生,截至报告发布已超过 60 种
Log4j 第三次发布漏洞补丁,漏洞或将长存
基于这两个现象,Check Point 认为此次 Apache Log4j 2 漏洞具备“网络流行病”的特征——迅速传播毁灭性攻击。Check Point 表示:“它显然是近年来互联网上最严重的漏洞之一,其潜在危害是无法估量的。”

Log4j 第三次发布漏洞补丁,漏洞或将长存

全球近一半企业受到影响


“迅速传播毁灭性攻击”的前提是,这个漏洞影响着全球大量组织,像野火般蔓延。这一点,作为一个特别通用的开源日志框架,Apache Log4j 2 无疑具备这个特点:Check Point 表示,全球近一半企业因为该漏洞受到了黑客的试图攻击
Log4j 第三次发布漏洞补丁,漏洞或将长存
在被波及的企业中,系统集成商(SI)/增值代理商(VAR)/经销商受到的冲击最大(59.1%),其次是便是教育与科研行业(56.9%),互联网服务提供商(ISP)/管理服务提供商(MSP)也是这次漏洞的主要“受害者”之一,近 55.1% 的企业受到影响:
Log4j 第三次发布漏洞补丁,漏洞或将长存
值得一提的是,对比其他国家,中国受 Apache Log4j 2 漏洞影响相对较小:即便在漏洞爆发高峰期,也只有近 34% 的企业受到波及。这或许与漏洞刚被曝出时,国内如阿里云、斗象科技、绿盟科技、默安科技、奇安信等众多安全厂商第一时间发布危害通报有关,使许多企业足以赶在黑客利用漏洞高峰期之前便打好补丁。
Log4j 第三次发布漏洞补丁,漏洞或将长存
但 Check Point 指出,由于 Apache Log4j 2 应用范围大、漏洞修复较为复杂,而利用漏洞却十分简便,因此除非企业和相关服务立即采取行动并实施保护以防止对其产品的攻击,否则这个 Apache Log4j 2 漏洞很可能在未来几年内也将一直存在
到目前为止,已有近5000个artifacts被修复,还有 30000个受影响。
参考链接:
https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-pandemic-detailed-dive/
https://www.bloomberg.com/news/articles/2021-12-13/how-apache-raced-to-fix-a-potentially-disastrous-software-flaw
https://www.zdnet.com/article/apache-releases-new-2-17-0-patch-for-log4j-to-solve-denial-of-service-vulnerability/


小猿整理好了一份《Java大厂面试题》累计 1098页,涵盖了Java技术的方方面面,记得收藏哈!

Log4j 第三次发布漏洞补丁,漏洞或将长存


互联网大厂面试题,怎么领取?
(回复 面试题 )加群看群公告领取
Log4j 第三次发布漏洞补丁,漏洞或将长存

本篇文章来源于微信公众号:程序IT圈

原创文章,作者:栈长,如若转载,请注明出处:https://www.cxyquan.com/17585.html

发表评论

登录后才能评论

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息