Yam*_*ama 1 ssis log4j visual-studio-2019
由于 log4j 最近出现问题,我正在检查所有代码等。在这样做时,我发现了两个名为
“slf4j-log4j12-1.7.5.jar”和“log4j-1.2.17.jar”
找到下
“...\Microsoft Visual Studio\2019\Professional\Common7\IDE\CommonExtensions\Microsoft\SSIS\150\Extensions\Common\Jars”
由于我们也在开发 SSIS 包,所以我们有点依赖这个扩展。遗憾的是,我无法在 log4j 的上下文中找到任何有关 SSIS 的信息。IMO 也有点怀疑 log4j 的版本似乎是 1.x,该支持于 2015 年结束。
是否有任何已知的修复/更新?
这不是问题。
通过什么方式可以利用这些 .jar 文件来触发权限升级或软件规避?
Visual Studio 使用旧库这一事实根本没有让我感到震惊。大公司习惯于依赖第三方库,但多年来它们通常被禁止在角落里。
编辑:
你的问题有点有趣,我需要进一步挖掘。
显然这个 0day从 3 月份就开始出现了,所以它的意思是 9 个月前。没有证据表明存在大规模利用,但这并不意味着它在过去几个月没有被使用。
为了使用它:
[...]攻击者只需要让系统记录精心设计的代码字符串。从那里他们可以在目标服务器上加载任意代码并安装恶意软件或发起其他攻击。值得注意的是,黑客可以通过看似良性的方式引入该代码片段,例如通过电子邮件发送该字符串或将其设置为帐户用户名。
这意味着假设您可以在这种情况下通过 SSIS 利用该漏洞:
...那么是的,在这种情况下,SSIS 包可能会被利用。
我会在业余时间尝试一下,然后让你知道。
编辑2:
经过广泛的研究,我可以向您确认这不是问题,因为只有 Log4j 2.X 版本受到影响:
减轻
Log4j 1.x 缓解措施:Log4j 1.x 不受此漏洞的影响。
Log4j 2.x 缓解措施:实施以下缓解技术之一。
使用FOX IT开发的log4j-finder来枚举计算机上易受攻击的 log4j 文件。
| 归档时间: |
|
| 查看次数: |
6518 次 |
| 最近记录: |