log4j2漏洞各大厂应对措施

真是平地一声雷,一个超高级别的bug把所有厂商都炸醒了。本来是可以划水半天的大周五,程序员们都得起来升版本发布代码修复这个问题了。具体漏洞的危害和原理,其他的回答里已经写的够详细了,我就整理一下各个大厂的解决方案,给大家一个参考吧。

腾讯

官方漏洞描述

漏洞编号:暂无
漏洞等级:高后_ 该漏洞影响范围极广,危害极大
CVSS 评分:10(最高级)
受影响版本:Apache log4j2 2.0 - 2.14.1
安全版本:Apache log4j-2.15.0-rc2 (2.15.0-rc1 版,经腾讯安全专家验证可以被绕过)

漏洞描述:该漏洞只需要外部用户输入的恶意代码被日志记录,即可触发代码执行,该漏洞使用者能在目标设备上远程执行任意恶意代码。

修复建议

官方补丁

  • 升级 Apache Log4j 所有相关应用到最新的 Log4j-2.15.0-rc1 版本。
  • 补丁地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

缓解措施:

  • jvm 参数 -Dlog4j2.formatMsgNoLookups=true
  • log4j2.formatMsg Nolookups=True

点评:升级补丁肯定是根除的方法,不过也提供了暂时缓解措施。

美团

一、漏洞描述

log4j2是日志框架Log4j的升级,在公司内被广泛使用,经信息安全中心监测,log4j2存在rce漏洞。

二、漏洞原理

Log4j2 中的某标签的属性中未对name中协议限制,导致攻击者可构造恶意标签,实现命令执行。

如果Log4j2需要打印的消息中有外部攻击者可控的变量,或打印来自上游不可控的数据,攻击者可构造恶意标签,在业务服务器上执行恶意命令,导致代码、密码等敏感文件泄露,公司服务器被入侵,作为跳板机向IDC其他机器横向攻击。利用门槛低,危害极大。目前安全组已复现该漏洞。

三、修复方式、自查方法

修复原理

org.apache.logging.log4j:log4j-core 在 2.10.0 以上增加了不启用 lookup 的配置项,但是默认关闭,官方暂无提供默认开启的正式版本。

美团日志框架(xmd-log4j2)封装了log4j2,在1.4.1将开关默认打开,防御上面的攻击场景。

美团内大部分业务使用xmd-log4j2,xmd-log4j2会引入log4j2,故使用com.meituan.inf:xmd-log4j2引入的org.apache.logging.log4j:log4j-core,需升级com.meituan.inf:xmd-log4j2到最新版本(1.4.1)完成修复。注:切勿使用xmd-log4j2 2.0.0-Snapshot包,这不是修复包。

通过maven配置更新xmd-log4j2,使用最新版本(1.4.1),或使用 inf-bom 1.4.14.1。

点评:美团安全组还复现了一下漏洞,给团子点个赞。美团因为全部业务都接入了美团日志框架(xmd-log4j2),所以直接升级公司的统一框架即可解决该漏洞,可以说是非常人性化了。目前公司要求互联网应用及对公网提供服务的应用最迟须在24小时内完成修复,所以,美团的发布系统PLUS已经挂了……

阿里

使用了rasp,加了拦截策略。原理算是字节码增强,通过配置的规则,检测到了攻击就进行上报,或者直接抛出异常。这算是个防御手段,按照阿里人的说法,目前是止血。

点评:阿里并没有像其他公司那样要求全公司升级log4j的版本,这一点感觉有些奇怪。不过偷偷摸摸的就把问题都拦截住了,也没有折腾大家去发版升级,也算是技术强悍的体现了。后续操作持续关注中……

字节

安全措施

安全部门将对公司全部 Java 服务进行组件扫描与升级,禁止低版本 Log4j 组件在线上运行。

同时,我们也将开启针对低版本、高风险组件(Log4j2 和 FastJSON)的安全卡点。

升级措施

请所有正在线上运行的Java服务相关研发同学自查:

  1. 服务是否使用 Log4j 2.x.x 版本(包括直接、间接依赖;1.x 版本不受影响)
  2. 服务是否使用 FastJSON < 1.2.69 版本(1.2.69 是目前允许的最低安全版本)

如不清楚服务具体依赖的组件信息,请通过此表格查询依赖关系(控制可见范围,需单独申请权限)

本次修复仅针对 Java 服务端,使用 Java 的 Android 客户端同学不受影响

若服务在上述范围内,无论对内/对外服务,请同学立刻将服务依赖升级到以下安全版本:

log4j 2.15.0:https://logging.apache.org/log4j/2.x/download.html

FastJSON 1.2.76: https://github.com/alibaba/fastjson/releases

点评:通过扫描Java代码仓库来排查没有升级的项目,也算是地毯式搜索了。并且禁止禁止低版本 Log4j 组件,连带着经常出问题的FastJSON也一并加入安全卡点并进行升级,也算是未雨绸缪了。

其他互联网大厂应对措施正在跟进中……

你可能感兴趣的:(安全,web安全,运维)