雷神众测漏洞周报2021.12.6-2021.12.12-4

2. Apache Log4j 2远程代码执行漏洞

漏洞介绍：

Apache Log4j 2是一个基于Java的日志记录工具，是对 Log4j 的升级。

漏洞危害：

Apache Log4j 2存在远程代码执行漏洞，攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码。

影响范围：

2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1 

修复建议：

紧急：目前漏洞POC已被公开，官方已发布安全版本，建议使用该组件的用户尽快采取安全措施。

官方处置：

建议您在升级前做好数据备份工作，避免出现意外。

1、厂商已发布新版本修复漏洞，请及时自查Log4j 2版本是否在影响范围内，及时将Log4j 2更新到安全版本 log4j-2.15.0-rc2，下载链接：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、升级已知受影响的应用及组件，如：

spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink。

临时解决方案：

1、设置jvm参数：

“-Dlog4j2.formatMsgNoLookups=true”；

2、添加log4j2.component.properties配置文件，设置：

“log4j2.formatMsgNoLookups=True”；

3、系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”；

4、若相关用户暂时无法进行升级操作，也可通过禁止Log4j中SocketServer类所启用的socket端对公网开放来进行防护；

5、禁止安装log4j的服务器访问外网，并在边界对dnslog相关域名访问进行检测。部分公共dnslog平台如下：

ceye.io

dnslog.link

dnslog.cn

dnslog.io

tu4.org

awvsscan119.autoverify.cn

burpcollaborator.net

s0x.cn

来源：安恒信息应急响应中心

4. FastAdmin存在文件上传漏洞

漏洞介绍：

FastAdmin是一款基于ThinkPHP和Bootstrap的极速后台开发框架。

漏洞危害：

FastAdmin存在文件上传漏洞。攻击者可利用该漏洞获取服务器权限。

影响范围：

深圳极速创想科技有限公司 FastAdmin V1.2.1.20210730_beta

修复建议：

及时测试并升级到最新版本

来源：CNVD