log4j2远程代码执行漏洞-【漏洞风险通告】Java Spring框架远程代码执行漏洞（CVE-2022-22965）

一

背景描述

框架是由于软件开发的复杂性而创建的。使用的是基本的来完成以前只可能由EJB完成的事情。然而，的用途不仅仅限于服务器端的开发。从简单性、可测试性和松耦合性角度而言，绝大部分Java应用都可以从中受益。

近日，迪普安全研究院团队监测到官方的上更新了一条修复代码，涉及到框架远程命令执行漏洞，漏洞编号CVE-2022-22965，目前相关POC已在网络中传播。由于因修复核弹级漏洞log4j2远程代码执行漏洞，大批企业都升级了JDK版本，而本次漏洞恰好需要满足JDK 9+版本，因此该漏洞潜在危害严重，迪普科技提醒广大用户，尽快排查漏洞情况，以降低安全风险。

二

严重等级

高危

三

漏洞描述

该漏洞是由于框架存在处理流程缺陷导致的，攻击者通过修改的一个用于日志记录的类的属性log4j2远程代码执行漏洞，导致当在进行写日志操作的时候，会将攻击者上传的恶意代码写入指定位置。继而通过写入的恶意代码访问并获取目标主机权限。

漏洞复现

执行cat etc/命令

四

影响范围

5.3.X < 5.3.18

5.2.X < 5.2.20

所有引用的衍生产品

五

漏洞排查方案

(一). JDK版本号排查

在业务系统的运行服务器上，执行“java-”命令查看运行的JDK版本，如果版本号小于等于8，则不受漏洞影响。

(二). 框架使用情况排查

1.如果业务系统项目以war包形式部署，按照如下步骤进行判断。

⑴解压war包：将war文件的后缀修改成.zip,解压zip文件。

⑵在解压缩目录下搜索是否存在-beans-*.jar格式的jar文件（例如-beans-5.3.16.jar）,如存在则说明业务系统使用了框架进行开发。

⑶如果-beans-*.jar文件不存在，则在解压缩目录下搜索.class 文件是否存在，如存在则说明业务系统使用了框架进行开发。

2.如果业务系统项目以jar包形式直接独立运行，按照如下步骤进行判断。

⑴解压jar包：将jar文件的后缀修改成.zip,解压zip文件。

⑵在解压缩目录下搜索是否存在-beans-*.jar 格式的jar文件（例如-beans-5.3.16.jar）,如存在则说明业务系统使用了框架进行开发。

⑶如果-beans-*.jar文件不存在，则在解压缩目录下搜索.class 文件是否存在，如存在则说明业务系统使用了框架进行开发。

(三). 漏洞确认

在完成以上两个步骤排查后，同时满足以下两个条件可确定受此漏洞影响：

⑴JDK版本号在9及以上；

⑵使用了框架或衍生框架。

六

解决方案

官方解决方案

（一）官方解决方案

官方目前已发布安全版本，建议用户尽快更新至安全版本，下载链接如下：

（二）临时解决方案

1、网络防护设备临时解决方案

在WAF等网络防护设备上，根据实际部署业务的流量情况，实现对“class.*”“Class.*”“*.class.*”“*.Class.*”等字符串的规则过滤。

临时修复方案

需同时按以下两个步骤进行漏洞的临时修复：

（一）在应用中全局搜索@注解，看看方法体内是否调用.方法，如果发现此代码片段的引入，则在原来的黑名单中，添加{"class.*","Class. *","*. class.*", "*.Class.*"}。

注：如果此代码片段使用较多,需要每个地方都追加。

（二）在应用系统的项目包下新建以下全局类，并保证这个类被加载到(推荐在所在的包中添加).完成类添加后，需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.core.annotation.Order;import org.springframework.web.bind.WebDataBinder;importorg.springframework.web.bind.annotation.ControllerAdvice;import org.springframework.web.bind.annotation.InitBinder;@ControllerAdvice@Order(10000)public class GlobalControllerAdvice{   @InitBinder  public void setAllowedFields(webdataBinder dataBinder){  String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};  dataBinder.setDisallowedFields(abd);  }}