火绒安全Log4j2漏洞缓解工具是一款功能帮用户可以在不重启服务器的情况下解决Apache Log4j2反序列化远程代码执行漏洞的工具,用户可以直接应用于它进行检查和打补丁,避免因为漏洞被攻击出现不必要的损失
火绒安全“Log4j2漏洞缓解工具”应用于方法
Linux环境
l 应用于与扫描目标java项目相同的用户, 在bash中运行CVE-2021-44228_mitigator.sh
l 检测结果如下,检测到漏洞后将自动应用“热补丁”。
检测到漏洞
不存在该漏洞
Windows环境
l 以管理员权限启动CVE-2021-44228-mitigator.exe
l 检测结果如下,检测到漏洞后将自动应用“热补丁”+“静态加固”。
检测到漏洞
不存在该漏洞
注:1、热补丁在业务重启后将失效,需重新运行工具。
2、静态加固持续有效。
热补丁原理
借助JVM的Attach机制, 将缓解代码注入运行中的目标JVM进程, 再应用于ASM修改JVM中的org.apache.logging.log4j.core.lookup.JndiLookup方法的字节码, 达到无需重启禁用JndiLookup::lookup的目的。
相关说明
Log4j2漏洞细节被公开以来,火绒安全持续高度关注,并发现大量疑似利用此漏洞进行攻击的事件。除挖矿、僵尸网络外,大量“TellYouThePass”勒索病毒短时间内密集的对包含此漏洞的OA系统进行攻击,相关OA、WEB服务、用户程序等均有沦陷可能。火绒安全经常用的软件可对上述病毒进行拦截查杀。
同时火绒安全多个防护项(“通过WMIC启动可疑进程”、“利用Mshta执行可疑脚本”、“利用PowerShell执行可疑脚本”)也可有效拦截多数利用该漏洞后发起的恶意行为。如您在应用于火绒安全经常用的软件的过程中,在中心、终端发现近期出现的“文件实时监控”、“应用加固”、“系统加固”等拦截日志,需及时进行响应,应用于火绒缓解工具排查是否受此漏洞影响,或联系我们协助您进行排查。
其他问题答疑
1)受影响范围:
Apache Log4j 2.x< 2.15.0-rc2
2)官方最新版本
目前官方发布最新版本为2.16.0,用户可升级到最新版以修复漏洞。
3)可能受到影响的产品:
Spring-Boot-starter-log4j2
Apache Struts2
Apache Solr
Apache Flink
Apache Druid
ElasticSearch
Flume
Dubbo
redis
Logstash
Kafka
vmware
版权声明:火绒安全Log4j2漏洞缓解工具所展示的资源内容均来自于第三方用户上传分享,您所下载的资源内容仅供个人学习交流使用,严禁用于商业用途,软件的著作权归原作者所有,如果有侵犯您的权利,请来信告知,我们将及时撤销。
软件下载信息清单:
| 软件名称 | 发布日期 | 文件大小 | 下载文件名 |
|---|---|---|---|
| 火绒安全Log4j2漏洞缓解工具安装包 | 2024年11月27日 | 147KB | CVE202144228mitigatorLinux_v1.1_qudong9.com.zip |
软件评论