国产在线网站,国产黄片手机在线观看,亚洲无码电影网,国产午夜影视,奇米一区,免费黄色大片,影音先锋在线资源AV,韩国精品亚洲精品

作者 | 褚杏娟??

這兩天，你熬夜應(yīng)急了嗎？??

前晚，對很多程序員來說可能是一個(gè)不眠之夜。12 月 10 日凌晨，Apache 開源項(xiàng)目 Log4j 的遠(yuǎn)程代碼執(zhí)行漏洞細(xì)節(jié)被公開，由于 Log4j 的廣泛使用，該漏洞一旦被攻擊者利用會(huì)造成嚴(yán)重危害。

據(jù)悉，Apache Log4j 2.x <= 2.14.1 版本均回會(huì)受到影響。根據(jù)“微步在線研究響應(yīng)中心”消息，可能的受影響應(yīng)用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。很多互聯(lián)網(wǎng)企業(yè)都連夜做了應(yīng)急措施。

截至本文發(fā)出，斗魚、京東、網(wǎng)易、深信服和汽車產(chǎn)業(yè)安全應(yīng)急響應(yīng)中心皆發(fā)文表示，鑒于該漏洞影響范圍比較大，業(yè)務(wù)自查及升級修復(fù)需要一定時(shí)間，暫不接收 Log4j2 相關(guān)的遠(yuǎn)程代碼執(zhí)行漏洞。(點(diǎn)擊下載2021年最新阿里p7面試題教程)?

1 lookup 功能造成的漏洞

Log4j 是一款開源 Java 日志記錄工具。日志記錄主要用來監(jiān)視代碼中變量的變化情況，周期性的記錄到文件中供其他應(yīng)用進(jìn)行統(tǒng)計(jì)分析工作；跟蹤代碼運(yùn)行時(shí)軌跡，作為日后審計(jì)的依據(jù)；擔(dān)當(dāng)集成開發(fā)環(huán)境中的調(diào)試器的作用，向文件或控制臺打印代碼的調(diào)試信息。因此，對于程序員來說，日志記錄非常重要。

在強(qiáng)調(diào)可重用組件開發(fā)的今天，Apache 提供的強(qiáng)有力的日志操作包 Log4j。Log4j 可以輕松控制 log 信息是否顯示、log 信息的輸出端類型、輸出方式、輸出格式，更加細(xì)致地控制日志的生成過程，而其通過配置文件可以靈活地進(jìn)行配置而不需要大量的更改代碼。因此，很多互聯(lián)網(wǎng)企業(yè)都選擇使用 Log4j 。

2014 年，Log4j 2 發(fā)布。Log4j 2 是對 Log4j 的重大升級，完全重寫了 log4j 的日志實(shí)現(xiàn)。Log4j 2 提供了 Logback 中可用的許多改進(jìn)，同時(shí)修復(fù)了 Logback 架構(gòu)中的一些固有問題，目前已經(jīng)更新到 2.15.0 版本。

Log4j2 也支持 SLF4J，可以自動(dòng)重新加載日志配置，并支持高級過濾選項(xiàng)。此外它還允許基于 lambda 表達(dá)式對日志語句進(jìn)行延遲評估，為低延遲系統(tǒng)提供異步記錄器，并提供無垃圾模式以避免由垃圾收集器操作引起的任何延遲。通過其他語言接口，企業(yè)也可以在 C、C++、.Net、PL/SQL 程序中使用 Log4j。

此次漏洞的出現(xiàn)，正是由用于 Log4j 2 提供的 lookup 功能造成的，該功能允許開發(fā)者通過一些協(xié)議去讀取相應(yīng)環(huán)境中的配置。但在實(shí)現(xiàn)的過程中，并未對輸入進(jìn)行嚴(yán)格的判斷，從而造成漏洞的發(fā)生。“微步在線研究響應(yīng)中心”做了漏洞復(fù)現(xiàn)：

簡單來說，就是在打印日志時(shí)，如果發(fā)現(xiàn)日志內(nèi)容中包含關(guān)鍵詞 ${，那么這個(gè)里面包含的內(nèi)容會(huì)當(dāng)做變量來進(jìn)行替換，導(dǎo)致攻擊者可以任意執(zhí)行命令。詳細(xì)漏洞披露可查看：https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues

由于線上 web 業(yè)務(wù)的任何數(shù)據(jù)都可能寫入 Log4j，甚至一些 pre-auth 的地方，比如注冊、登錄，實(shí)際攻擊入口取決于業(yè)務(wù)具體情況。目前百度搜索、蘋果 iCloud 搜索、360 搜索等都出現(xiàn)了該問題。

圖源：公眾號“信安之路”

12 月 10 日上午，阿里云安全團(tuán)隊(duì)再次發(fā)出預(yù)警，發(fā)現(xiàn) Apache Log4j 2.15.0-rc1 版本存在漏洞繞過，建議及時(shí)更新至 Apache Log4j 2.15.0-rc2 版本。

對于這次漏洞，有網(wǎng)友評價(jià)說道，“可以說是災(zāi)難性的漏洞，比之前的 fastjson 和 shiro 還要嚴(yán)重，這個(gè)漏洞估計(jì)在之后三四年內(nèi)還會(huì)繼續(xù)存在….”

2 快速檢測及修復(fù)方案

針對此次漏洞，“微步在線研究響應(yīng)中心”也給出了一些應(yīng)急方案。

1. 緊急緩解措施

（1）修改 jvm 參數(shù) -Dlog4j2.formatMsgNoLookups=true
（2）修改配置 log4j2.formatMsgNoLookups=True
（3）將系統(tǒng)環(huán)境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設(shè)置為 true

2. 檢測方案

（1）由于攻擊者在攻擊過程中可能使用 DNSLog 進(jìn)行漏洞探測，建議企業(yè)可以通過流量監(jiān)測設(shè)備監(jiān)控是否有相關(guān) DNSLog 域名的請求，微步在線的 OneDNS 也已經(jīng)識別主流 DNSLog 域名并支持?jǐn)r截。
（2）根據(jù)目前微步在線對于此類漏洞的研究積累，我們建議企業(yè)可以通過監(jiān)測相關(guān)流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符來發(fā)現(xiàn)可能的攻擊行為。

3.?修復(fù)方案

檢查所有使用了 Log4j 組件的系統(tǒng)，官方修復(fù)鏈接如下：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

3 安全應(yīng)該是一個(gè)持續(xù)的過程

每個(gè)人都知道安全的重要性，但安全問題還是頻繁發(fā)生。

去年 5 月，360 網(wǎng)絡(luò)安全響應(yīng)中心發(fā)布“ Fastjson 遠(yuǎn)程代碼執(zhí)行漏洞通告”。通告稱，Java 庫 fastjson <= 1.2.68 版本存在遠(yuǎn)程代碼執(zhí)行漏洞，漏洞被利用可直接獲取服務(wù)器權(quán)限。該漏洞評定為“高危漏洞”，影響面“廣泛”。

前年，阿里云應(yīng)急響應(yīng)中心監(jiān)測到，Apach Shiro 官方披露了其 cookie 持久化參數(shù) rememberMe 加密算法存在漏洞，攻擊者利用 Padding Oracle 攻擊手段可構(gòu)造惡意的 rememberMe 值，繞過加密算法驗(yàn)證，執(zhí)行 java 反序列化操作，最終可導(dǎo)致遠(yuǎn)程命令執(zhí)行獲取服務(wù)器權(quán)限，風(fēng)險(xiǎn)極大。

安全本身并不是一個(gè)能夠創(chuàng)造價(jià)值的功能，反而更像是需要消耗價(jià)值以確保功能穩(wěn)定的功能。中小企業(yè)常常沒有足夠的資金投入安全建設(shè)，而有資金的企業(yè)也會(huì)把這部分預(yù)算將到最低。

網(wǎng)絡(luò)攻擊成功的可能性以及潛在損失的程度是難以實(shí)現(xiàn)估計(jì)的，決策者通常是依靠經(jīng)驗(yàn)判斷來做決定投入金額。根據(jù) Alex Blau 在哈佛商業(yè)評論中的文章中提到的，決策者在作出決定時(shí)，會(huì)有一下三個(gè)誤區(qū)：

將網(wǎng)絡(luò)安全視為一種防御。在這個(gè)過程中，強(qiáng)大的防火墻和有能力的工程師可以讓他們遠(yuǎn)離威脅。
認(rèn)為遵守 NIST 或 FISMA 等安全框架就足夠安全。
以為如果近期沒有發(fā)生安全漏洞，那么看起來沒有問題的部分就不需要修復(fù)。

這些想法的問題在于，網(wǎng)絡(luò)安全不是要解決有限的問題，而應(yīng)該是一個(gè)持續(xù)進(jìn)行的過程。麻省理工學(xué)院數(shù)字經(jīng)濟(jì)倡議主任 Erik Brynjolfsson 表示，對抗網(wǎng)絡(luò)威脅應(yīng)該被歸到“更高級別的優(yōu)先考慮項(xiàng)”。他認(rèn)為，一些修復(fù)并不復(fù)雜。雖然增加一些額外的小操作會(huì)讓整個(gè)流程變長，并增加一點(diǎn)成本，但會(huì)讓企業(yè)和個(gè)人更加安全。

Brynjolfsson 提出，在網(wǎng)絡(luò)安全方面，使用公開可用的密碼學(xué)通常比為特定公司構(gòu)建的專有系統(tǒng)更加安全。


如有文章對你有幫助，
“在看”和轉(zhuǎn)發(fā)是對我最大的支持！
一款牛逼的Java面試題庫，點(diǎn)擊下圖查看詳細(xì)內(nèi)容

炸了！Log4j 爆“核彈級”漏洞！

一款牛逼的Java面試題庫，點(diǎn)擊下圖查看詳細(xì)內(nèi)容