研究人员发现Apache Log4j 1.2.X 反序列化远程代码执行漏洞

       近日，安全研究人员发现网络上出现针对Apache Log4j应用的反序列化远程代码执行漏洞。在Log4j 1.2.X版本中包含一个SocketServer类，在侦听日志数据时，会对攻击者发送的恶意数据进行反序列化，造成远程代码执行。

       Log4j是Apache的一个开源项目，通过使用Log4j，可以控制日志信息输送的目的地是控制台、文件、GUI组件，甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等；同时也可以控制每一条日志的输出格式；通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。最令人感兴趣的就是，这些可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码。Apache Log4j主要用于企业内部，较少暴露在公网上，很难对其全球分布有全面的认识。

       漏洞存在于org.apache.log4j.net.SocketServer类中，与CNNVD-201704-852、CVE-2017-5645反序列化漏洞类似，攻击者只要想向4560端口发送恶意数据，组件变会将其反序列化成对象，执行所构造的payload。该漏洞目前影响1.2到1.2.17版本的Apache Log4j，该厂商目前已经公布修复建议。