iT邦幫忙

2024 iThome 鐵人賽

DAY 7
0
Security

WEB仔也要懂資安嗎系列 第 7

7/Apache Log4j Remote Code Execution (CVE-2021-44228)

  • 分享至 

  • xImage
  •  

Apache Log4j Remote Code Execution (CVE-2021-44228)是在2021年底被揭露的一個重大漏洞,當時這個弱點被揭露的那天,負責Java系統的工程師們一定都在瘋狂爬文想知道怎麼回事、怎麼處理吧。現在回想起來感覺都還是不久前才發生的事,沒想到已經過了快三年了。
Log4j是開發Java系統的工程師最常用的log套件之一,當時被人發現Log4j 2.x版之後有一個lookup的功能,攻擊者可以透過輸入特定的內容,讓log4j去下載並執行遠端的惡意程式,說起來應該也算是一種Code Injection吧。
所幸當時我負責的系統舊到用的log4j版本沒有jndi lookup功能,所以完全沒受到影響。

就算有用到有弱點的版本也不用太擔心,只要手動將log4j的jar檔裡面,JndiLookup.class這個檔案刪除就可以避開這個弱點了。

不過說到底,open系統用了一大堆第三方套件,難保下一次又有哪個套件出現相似的弱點,要避免Remote Code Execution最保險的做法,還是做好輸入檢核,不要相信任何客戶端進來的東西。
另外做好Server端的網路控管,把防火牆規則設好,讓Ap Server不能隨意連到Internet也很重要。


上一篇
6/Reflected Cross-Site Scripting
下一篇
8/Stored Cross-Site Scripting
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言