01
Zabbix不受Log4j漏洞的影響
近期一個 Apache Log4j2 遠程代碼執行漏洞細節被公開,攻擊者利用漏洞可以遠程執行代碼。
Zabbix官方第一時間對該漏洞進行驗證。在此聲明:Zabbix使用Java的唯一產品是Zabbix Java Gateway,而它不調用log4j組件,因此不受此漏洞的影響。
02
補救建議
Apache Log4j2中存在JNDI注入漏洞,當用戶輸入的數據被應用程序記錄時,可能觸發該漏洞,黑客可利用此漏洞在目標服務器上執行任意代碼。
漏洞概述
漏洞名稱 : Apache Log4j2遠程代碼執行漏洞
組件名稱 : Apache Log4j2
影響版本 : 2.0 ≤Apache Log4j ≤ 2.14.1
漏洞類型 : 遠程代碼執行
利用條件 :
(1)用戶認證:不需要用戶認證
(2)前置條件:默認配置
(3)觸發方式:遠程
綜合評價 :
<綜合評定利用難度>:容易,無需授權即可遠程代碼執行。
<綜合評定威脅等級>:嚴重,能造成遠程代碼執行。
影響範圍:
Apache Log4j2廣泛地應用在中間件、開發框架、Web應用中。漏洞危害性高,涉及用戶量較大,導致漏洞影響力巨大。
補救建議
Zabbix官方還對在其他Java應用程序中使用log4j組件的客戶提出以下建議以降低CVE-2021-44228的風險:
升級到Apache log4j-2.1.50.rc2,版本越低受攻擊的可能性越高;
對於Log4j 2.10.0或更高版本,通過設置 "log4j2.formatMsgNoLookups=True"來阻止JNDI向不受信任的服務器發請求,以防止LDAP和其他查詢。
將com.sun.jndi.rmi.object.trustURLCodebase 和com.sun.jndi.cosnaming.object.trustURLCodebase 的值設置爲“FALSE”,以防止Java 8u121中的遠程代碼執行攻擊。
附:
1. Zabbix官方聲明
https://blog.zabbix.com/zabbix-not-affected-by-the-log4j-exploit/17873/
2. Apache官方補丁
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
————
2022年活動計劃,交流會爲半天,約50人,免費。期待你的回覆,其他選擇可至文末留言~
推薦閱讀
|
|||
|
|||
|
|||
|
備註“使用Zabbix年限+企業+姓名”
進入交流羣,4000+用戶已加入
一個人走得快,一羣人走得遠
本文分享自微信公衆號 - Zabbix開源社區(china_zabbix)。
如有侵權,請聯繫 [email protected] 刪除。
本文參與“OSC源創計劃”,歡迎正在閱讀的你也加入,一起分享。