[누동 통고] CVE-2019-17571/Apache Log4j 1.2.X 존재 반서열화 远程大码执行 누동

누동 묘사

Apache Log4j 是美国阿帕奇(Apache) 软件基金会的一款基于 Java적 开源日志记录工具. Apache Log4j 1.2.X .在 Log4j 1.2.X 中包含一个 SocketServer 类, 该类很易对不可信数据进行反序列化,当侦听日志数据不可信网络流量时、利用具列该类远程执行任意代码.影影包含目前最新版本.

CVE 요호

CVE-2019-12409

누동 위조 등

고위험

影影范围

1.2.4 <= Apache Log4j <= 1.2.17 (최신 버전)

简单分析

其实早在 Apache Log4j 2.8.2 时代就存在反序列化远程代码执行漏洞(CVE-2017-5645), 当時触发的 누동



대치원리 화

修复建议

1. 升级到 org.apache.logging.log4j.core.net.server.TcpSocketServer 계열 최신판

2. 금지 장교 쇼소 吀启的socket 단구 노출 도호 网网

时间轴

[0] 2019/12/20 NVD 숙포 참누동
[1] 2019/12/24 亚信安全网络攻防实验室 연구

Reference