01.Zabbix不受Log4j漏洞的影响
近期一个 Apache Log4j2 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。
Zabbix官方第一时间对该漏洞进行验证。在此声明:Zabbix使用Java的唯一产品是Zabbix Java Gateway,而它不调用log4j组件,因此不受此漏洞的影响。
02.补救建议
Apache Log4j2中存在JNDI注入漏洞,当用户输入的数据被应用程序记录时,可能触发该漏洞,黑客可利用此漏洞在目标服务器上执行任意代码。
漏洞概述
漏洞名称 : Apache Log4j2远程代码执行漏洞
组件名称 : Apache Log4j2
影响版本 : 2.0 ≤Apache Log4j ≤ 2.14.1
漏洞类型 : 远程代码执行
利用条件 :
(1)用户认证:不需要用户认证
(2)前置条件:默认配置
(3)触发方式:远程
综合评价 :
<综合评定利用难度>:容易,无需授权即可远程代码执行。
<综合评定威胁等级>:严重,能造成远程代码执行。
影响范围:
Apache Log4j2广泛地应用在中间件、开发框架、Web应用中。漏洞危害性高,涉及用户量较大,导致漏洞影响力巨大。
补救建议
Zabbix官方还对在其他Java应用程序中使用log4j组件的客户提出以下建议以降低CVE-2021-44228的风险:
- 升级到Apache log4j-2.1.50.rc2,版本越低受攻击的可能性越高;
- 对于Log4j 2.10.0或更高版本,通过设置 "log4j2.formatMsgNoLookups=True"来阻止JNDI向不受信任的服务器发请求,以防止LDAP和其他查询。
- 将com.sun.jndi.rmi.object.trustURLCodebase 和com.sun.jndi.cosnaming.object.trustURLCodebase 的值设置为“FALSE”,以防止Java 8u121中的远程代码执行攻击。
附:
1. Zabbix官方声明
https://blog.zabbix.com/zabbix-not-affected-by-the-log4j-exploit/17873/
2. Apache官方补丁
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
