研究人员发现Apache Log4j 1.2.X 反序列化远程代码执行漏洞

admin 2021年12月3日13:59:48cnnvd_news评论17 次浏览阅读模式

       近日,安全研究人员发现网络上出现针对Apache Log4j应用的反序列化远程代码执行漏洞。在Log4j 1.2.X版本中包含一个SocketServer类,在侦听日志数据时,会对攻击者发送的恶意数据进行反序列化,造成远程代码执行。

       Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;同时也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。Apache Log4j主要用于企业内部,较少暴露在公网上,很难对其全球分布有全面的认识。

       漏洞存在于org.apache.log4j.net.SocketServer类中,与CNNVD-201704-852、CVE-2017-5645反序列化漏洞类似,攻击者只要想向4560端口发送恶意数据,组件变会将其反序列化成对象,执行所构造的payload。该漏洞目前影响1.2到1.2.17版本的Apache Log4j,该厂商目前已经公布修复建议。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日13:59:48
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_news/2021/12/03/881.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: