[누동 통고] CVE-2019-17571/Apache Log4j 1.2.X 존재 반서열화 远程大码执行 누동

1178 단어 아파치log4j

누동 묘사


Apache Log4j 是美国阿帕奇(Apache) 软件基金会的一款基于 Java적 开源日志记录工具. Apache Log4j 1.2.X .在 Log4j 1.2.X 中包含一个 SocketServer 类, 该类很易对不可信数据进行反序列化,当侦听日志数据不可信网络流量时、利用具列该类远程执行任意代码.影影包含目前最新版本.

CVE 요호



CVE-2019-12409

누동 위조 등



고위험

影影范围



1.2.4 <= Apache Log4j <= 1.2.17 (최신 버전)

简单分析



其实早在 Apache Log4j 2.8.2 时代就存在反序列化远程代码执行漏洞(CVE-2017-5645), 当時触发的 누동



대치원리 화



修复建议


  • 1. 升级到 org.apache.logging.log4j.core.net.server.TcpSocketServer 계열 최신판
  • 2. 금지 장교 쇼소 吀启的socket 단구 노출 도호 网网

  • 时间轴



    [0] 2019/12/20 NVD 숙포 참누동
    [1] 2019/12/24 亚信安全网络攻防实验室 연구

    Reference

    좋은 웹페이지 즐겨찾기