#威胁通报
17 个内容
#漏洞预警
13 个内容
#log4j2
5 个内容

 01 漏洞概况 



近日,微步情报局获取到 Log4j2.16 拒绝服务攻击漏洞 0day 相关漏洞情报,攻击者可以利用该漏洞攻击服务器。

漏洞复现:

影响版本

Log4j2

是否受影响

≤ 2.16.0

漏洞分析:

该漏洞是由于StrSubstitutor.java中的substitute函数递归解析数据造成的,当攻击者构造恶意的payload传入时,该解析函数会抛出异常,从而导致拒绝服务攻击。

此外网络上有一些关于CVE-2021-45046 RCE的描述信息,首先该漏洞是针对Log4j2.15.0的Bypass,在某些情况下可以造成RCE:经微步工程师分析发现只有在*unix的环境下才能造成RCE。在之前的文章中,已经分析了Log4j2.15.0版本对IP和协议做了限制,但是可以通过 java.net.uri 和系统底层函数对URL处理的不一致绕过IP限制。

复现截图如下

该问题在 2.17 版本中已得到修复。

02 漏洞评估 

利用条件:无权限要求

交互要求:0 click

漏洞危害:拒绝服务攻击
影响范围:
Log4j ≤ 2.16.0


03 检测及修复方案 



1. 微步在线威胁感知平台 TDP 已支持检测;
2. 升级到 2.17 版本,官方更新链接如下:

https://github.com/apache/logging-log4j2/releases/tag/rel%2F2.17.0

04 时间线 

2021.12.20  微步情报局发布漏洞预警


点击下方名片,关注我们


第一时间为您推送最新威胁情报




阅读原文,可加入粉丝群~

声明:本站(华域联盟www.cnhackhy.com)所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。