Apache Log4j 2 報高危漏洞,CODING 聯手騰訊安全護衛軟體安全

CODING發表於2021-12-16

img


導語

12 月 9 日晚間,Apache Log4j 2 發現了遠端程式碼執行漏洞,惡意使用者可以通過該漏洞在目標伺服器上執行任意程式碼,危害極大。

騰訊安全第一時間將該漏洞收錄至騰訊安全漏洞特徵庫中,CODING 製品掃描基於該漏洞特徵庫,對引用了受影響版本的 Log4j 2 製品進行了精準定位,並給出修復建議,同時可禁止下載含有該安全漏洞的製品,最大限度的減少漏洞蔓延。

Apache Log4j 2 漏洞詳情

Apache Log4j 2 是一個基於 Java 的日誌記錄工具。該工具重寫了 Log4j 框架,並且引入了豐富的特性,作為日誌記錄基礎第三方庫,被大量 Java 框架及應用使用。

此次漏洞是由於 Log4j 2 提供的 lookup 功能造成的,該功能允許開發者通過一些協議去讀取相應環境中的配置。但在實現的過程中,並未對輸入進行嚴格的判斷,從而造成漏洞的發生,當程式將使用者輸入的資料進行日誌記錄時,即可觸發此漏洞。

漏洞詳情:

漏洞名稱Apache Log4j 2 任意程式碼執行漏洞
威脅等級高危
漏洞詳情已公開
POC已知
EXP已知
漏洞威脅Apache Log4j 2
影響範圍Apache Log4j 2 2.0 - 2.14.1
漏洞編號暫無
在野利用已發現
安全版本Log4j-2.15.0-rc2

Log4j 2 的使用極為廣泛,可能受影響的應用及元件(包括但不限於):Apache Solr、Apache Flink、Apache Druid、Apache Struts2、Srping-boot-strater-log4j2、ElasticSearch、Flume、Dubbo、Redis、Logstash、Kafka。

使用 CODING 製品掃描,快速識別受影響製品

CODING 製品掃描已經識別到該漏洞,可以在製品管理 - 製品掃描模組建立「安全漏洞掃描方案」,對相關 Maven 包進行安全掃描。在 CODING DevOps 線上版本中可直接對該漏洞進行排查,私有化的 CODING DevOps 及 WePack 客戶請聯絡客戶經理諮詢升級。

1.png

掃描結束後,可以看到最新的中文漏洞資訊。該漏洞的危險等級被騰訊安全定義為「危急」,同時該漏洞使用廣泛,利用門檻低,被標記為「優先關注漏洞」,在漏洞詳情中,我們建議使用者儘快修復至「2.15.0-rc2」版本,將此依賴升級後,即可規避漏洞影響。

2.png

同時,可通過“禁止下載未通過質量紅線的製品”的管控方式,以避免日後產品更新引入該風險。

3.png

如何修復漏洞

升級 ApacheLog4j 所有相關應用到最新的 Log4j-2.15.0-rc2 版本。

(2.15.0-rc1 版,經騰訊安全專家驗證可以被繞過)

補丁下載地址:
https://github.com/apache/log...

漏洞緩解措施:

  1. jvm引數 - Dlog4j2.formatMsgNoLookups=true
  2. log4j2.formatMsgNoLookups=True

獲取補丁後重新打包,可將依賴 jar 包上傳至 CODING 製品倉庫,並修改製品依賴配置,推送新版本。

XIU1.png

重新掃描後,可以看到製品已通過掃描。

XIU2.png

強強聯手,共同保衛客戶軟體安全

CODING 與騰訊安全及其科恩實驗室、雲鼎實驗室攜手,共同保衛客戶軟體安全。

可信漏洞特徵庫

「騰訊安全開源元件漏洞特徵庫」是騰訊基於自身安全研究與國內外通用開源漏洞庫資訊搭建的漏洞特徵庫,由專業安全團隊持續運營,為使用者提供準確、及時、易懂的安全資訊。

4.jpeg

完善的流程管控

在軟體生產過程中,進入 CODING 製品庫的製品會受到 CODING 製品掃描能力的監管。CODING 會對製品進行依賴分析,解析出製品引用的開源元件,再通過「騰訊安全開源元件漏洞特徵庫」識別出製品引用的開源元件存在的漏洞,輸出漏洞報告,通過預設的質量紅線判斷製品掃描通過情況,展示在製品詳情中。

同時,騰訊安全專家根據漏洞靜態威脅等級(CVSS)和動態風險等級(漏洞當前是否有公開利用 POC)篩選出需優先關注的漏洞,在掃描結果中進行優先度提示,協助客戶優先處理危急問題。

持續的風險製品管理

製品掃描方案可以設定禁止下載沒有通過安全掃描的製品,以此避免存在安全隱患的製品被團隊成員繼續引用或釋出,實現對漏洞風險的持續管控。

5.jpeg

在漏洞、資料安全問題頻發的當下,為了給客戶提供更可靠的服務體驗,CODING 在投入軟體開發過程提效的同時,也持續關注軟體開發過程安全和軟體資產安全,致力於為企業使用者提供更高效、更可靠、更安全的雲上研發工作流。

在未來, CODING 也將持續關注軟體的安全生產,保持與騰訊安全團隊的緊密合作,在製品管理環節提供更精確的依賴分析能力、License 掃描能力,協助客戶全面建設 DevSecOps 能力,將安全管控左移,降低軟體生產風險。

聯絡 CODING 顧問,獲得 DevSecOps 解決方案
640.png

相關文章