導語
12 月 9 日晚間,Apache Log4j 2 發現了遠程代碼執行漏洞,惡意使用者可以通過該漏洞在目標服務器上執行任意代碼,危害極大。
騰訊安全第一時間將該漏洞收錄至騰訊安全漏洞特徵庫中,CODING 製品掃描基於該漏洞特徵庫,對引用了受影響版本的 Log4j 2 製品進行了精準定位,並給出修復建議,同時可禁止下載含有該安全漏洞的製品,最大限度的減少漏洞蔓延。
Apache Log4j 2 漏洞詳情
Apache Log4j 2 是一個基於 Java 的日誌記錄工具。該工具重寫了 Log4j 框架,並且引入了豐富的特性,作爲日誌記錄基礎第三方庫,被大量 Java 框架及應用使用。
此次漏洞是由於 Log4j 2 提供的 lookup 功能造成的,該功能允許開發者通過一些協議去讀取相應環境中的配置。但在實現的過程中,並未對輸入進行嚴格的判斷,從而造成漏洞的發生,當程序將用戶輸入的數據進行日誌記錄時,即可觸發此漏洞。
漏洞詳情:
| 漏洞名稱 | Apache Log4j 2 任意代碼執行漏洞 |
|---|---|
| 威脅等級 | 高危 |
| 漏洞詳情 | 已公開 |
| POC | 已知 |
| EXP | 已知 |
| 漏洞威脅 | Apache Log4j 2 |
| 影響範圍 | Apache Log4j 2 2.0 - 2.14.1 |
| 漏洞編號 | 暫無 |
| 在野利用 | 已發現 |
| 安全版本 | Log4j-2.15.0-rc2 |
Log4j 2 的使用極爲廣泛,可能受影響的應用及組件(包括但不限於):Apache Solr、Apache Flink、Apache Druid、Apache Struts2、Srping-boot-strater-log4j2、ElasticSearch、Flume、Dubbo、Redis、Logstash、Kafka。
使用 CODING 製品掃描,快速識別受影響製品
CODING 製品掃描已經識別到該漏洞,可以在製品管理 - 製品掃描模塊創建「安全漏洞掃描方案」,對相關 Maven 包進行安全掃描。在 CODING DevOps 線上版本中可直接對該漏洞進行排查,私有化的 CODING DevOps 及 WePack 客戶請聯繫客戶經理諮詢升級。
掃描結束後,可以看到最新的中文漏洞信息。該漏洞的危險等級被騰訊安全定義爲「危急」,同時該漏洞使用廣泛,利用門檻低,被標記爲「優先關注漏洞」,在漏洞詳情中,我們建議用戶儘快修復至「2.15.0-rc2」版本,將此依賴升級後,即可規避漏洞影響。
同時,可通過“禁止下載未通過質量紅線的製品”的管控方式,以避免日後產品更新引入該風險。
如何修復漏洞
升級 ApacheLog4j 所有相關應用到最新的 Log4j-2.15.0-rc2 版本。
(2.15.0-rc1 版,經騰訊安全專家驗證可以被繞過)
補丁下載地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
漏洞緩解措施:
-
jvm參數 - Dlog4j2.formatMsgNoLookups=true
-
log4j2.formatMsgNoLookups=True
獲取補丁後重新打包,可將依賴 jar 包上傳至 CODING 製品倉庫,並修改製品依賴配置,推送新版本。
重新掃描後,可以看到製品已通過掃描。
強強聯手,共同保衛客戶軟件安全
CODING 與騰訊安全及其科恩實驗室、雲鼎實驗室攜手,共同保衛客戶軟件安全。
可信漏洞特徵庫
「騰訊安全開源組件漏洞特徵庫」是騰訊基於自身安全研究與國內外通用開源漏洞庫信息搭建的漏洞特徵庫,由專業安全團隊持續運營,爲用戶提供準確、及時、易懂的安全信息。
完善的流程管控
在軟件生產過程中,進入 CODING 製品庫的製品會受到 CODING 製品掃描能力的監管。CODING 會對製品進行依賴分析,解析出製品引用的開源組件,再通過「騰訊安全開源組件漏洞特徵庫」識別出製品引用的開源組件存在的漏洞,輸出漏洞報告,通過預設的質量紅線判斷製品掃描通過情況,展示在製品詳情中。
同時,騰訊安全專家根據漏洞靜態威脅等級(CVSS)和動態風險等級(漏洞當前是否有公開利用 POC)篩選出需優先關注的漏洞,在掃描結果中進行優先度提示,協助客戶優先處理危急問題。
持續的風險製品管理
製品掃描方案可以設置禁止下載沒有通過安全掃描的製品,以此避免存在安全隱患的製品被團隊成員繼續引用或發佈,實現對漏洞風險的持續管控。
在漏洞、數據安全問題頻發的當下,爲了給客戶提供更可靠的服務體驗,CODING 在投入軟件開發過程提效的同時,也持續關注軟件開發過程安全和軟件資產安全,致力於爲企業用戶提供更高效、更可靠、更安全的雲上研發工作流。
在未來, CODING 也將持續關注軟件的安全生產,保持與騰訊安全團隊的緊密合作,在製品管理環節提供更精確的依賴分析能力、License 掃描能力,協助客戶全面建設 DevSecOps 能力,將安全管控左移,降低軟件生產風險。
聯繫 CODING 顧問,獲得 DevSecOps 解決方案
