【安全公告】Apache Log4j多个漏洞通告
漏洞名称:Apache Log4j 多个漏洞通告
组件名称:Apache Log4j
安全公告链接:
https://www.mail-archive.com/[email protected]/msg07040.html
https://www.mail-archive.com/[email protected]/msg07041.html
https://www.mail-archive.com/[email protected]/msg07042.html
漏洞分析
1 组件介绍
Log4j 是 Apache 的一个开源项目,通过使用 Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI 组件,甚至是套接口服务器、NT 的事件记录器、UNIX Syslog 守护进程等;也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
2 漏洞描述
2022年1月18日,深信服安全团队监测到一则 Apache 官方发布安全公告披露了3个Log4j 的漏洞,其中包含 3 个高危及严重漏洞的信息。
Apache Log4j JMSSink 反序列化代码执行漏洞(CVE-2022-23302)
该漏洞是由于 JMSSink 存在的反序列化漏洞,攻击者可利用该漏洞获得权限的情况下,构造恶意数据执行远程代码执行攻击,最终可获取服务器最高权限。Log4j 默认配置时不受此漏洞影响。
Apache Log4j JDBCAppender SQL 注入漏洞(CVE-2022-23305)
该漏洞是由于 JDBCAppender 未对 SQL 语句进行过滤,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终可造成服务器敏感性信息泄露。Log4j 默认配置时不受此漏洞影响。
Apache Log4j Chainsaw反序列化代码执行漏洞(CVE-2022-23307)
该漏洞是由于 Log4j 中的日志查看器 Chainsaw 存在的反序列化漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码执行攻击,最终可获取服务器最高权限。Log4j 默认配置时不受此漏洞影响。
影响范围
Apache Log4j 受影响范围遍布世界各地,主要集中在中国、美国、德国等国家。
解决方案
1 如何检测组件系统版本
本次受影响漏洞主要为 log4j 1.x,首先检测是否使用 log4j 1.x可以通过如下方式:
全盘搜索 log4j
Linux 下输入以下命令:
find / -name log4j*.jar2 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。
三个漏洞都可以使用Log4j升级规避漏洞,由于Log4j1.x已经停止维护,因此需要升级到Log4j 2的新版本,链接如下:
https://github.com/apache/logging-log4j2/tags
Apache Log4j Chainsaw反序列化代码执行漏洞(CVE-2022-23307)也可通过升级Apache Chainsaw 至最新版的方式进行修复,官方下载链接:
https://logging.apache.org/chainsaw/2.x/download.html
参考链接
https://www.mail-archive.com/[email protected]/msg07040.html
https://www.mail-archive.com/[email protected]/msg07041.html
https://www.mail-archive.com/[email protected]/msg07042.html
时间轴
2022/1/18 深信服监测到 Apache 官方发布安全公告。
2022/1/20 深信服千里目安全实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。