股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
Apache Log4j-2拒绝服務(wù)漏洞,将触发无限循环,导致系统崩溃
发布时间 :2021年12月19日
类型 :勒索软件
分(fēn)享:
一、漏洞描述
2021年12月18日,亚信安(ān)全CERT监测发现Apache官方发布新(xīn)版本,修复了Apache Log4j2 拒绝服務(wù)攻击漏洞(CVE-2021-45105)。当系统日志(zhì)配置使用(yòng)带有(yǒu)Context lookups的非默认Pattern Layout时,攻击者可(kě)构造包含递归查找的恶意输入数据,成功利用(yòng)此漏洞将触发无限循环,最终导致系统崩溃。
Apache Log4j 1.x并不受此漏洞影响。只有(yǒu)log4j-core依赖受此漏洞影响,若仅使用(yòng)log4j-api而不使用(yòng)log4j-core依赖的应用(yòng)程序亦不受此漏洞影响。
目前官方已提供修复补丁,鉴于该漏洞受影响面广大且在未来一段时间存在绕过风险,亚信安(ān)全CERT建议使用(yòng)Apache Log4j-2的用(yòng)户应尽快排查所使用(yòng)的版本并采取相关措施。请大家及时关注公(gōng)众号和官方安(ān)全通告。
Apache Log4j-2是美國(guó)阿帕奇(Apache)公(gōng)司的基于Apache Log4j框架进行重构和升级,引入了大量丰富的特性,可(kě)以控制日志(zhì)信息输送的目的地為(wèi)控制台、文(wén)件、GUI组件等,并通过定义每一条日志(zhì)信息的级别,使其能(néng)更加细致地控制日志(zhì)的生成过程。
二、漏洞编号
CVE-2021-45105 : Apache Log4j-2拒绝服務(wù)漏洞
三、漏洞评分(fēn)
暂无
四、漏洞状态
五、受影响的版本
2.0-Beta9 <= Apache <= 2.16.0
六、修复建议
鉴于Apache log4j-2官方已经发布更新(xīn)版本,请尽快升级至2.17.0版本。
临时性缓解措施
在日志(zhì)配置的PatternLayout中(zhōng),用(yòng)Thread Context Map模式(%X、%mdc、%MDC)替换${ctx:loginId}或$${ctx:loginId}等Context Lookups;
在系统接收应用(yòng)程序外部数据的场景中(zhōng),在配置中(zhōng)删除对Context Lookups的引用(yòng)(如${ctx:loginId}或$${ctx:loginId})。
七、Apache Log4j-2 漏洞时间線(xiàn)
2021年12月9日
亚信安(ān)全CERT监测到Apache Log4j-2遠(yuǎn)程代码执行漏洞(CVE-2021-44228)。
2021年12月10日
亚信安(ān)全CERT确认Apache Log4j-2 2.15.0-rc1 版本仅修复LDAP和增加了host白名(míng)单,非默认配置下可(kě)以被绕过利用(yòng);官方对此发布了Apache Log4j-2 2.15.0-rc2版本(与2.15.0稳定版相同)进行修复,增加了对urI异常的处理(lǐ)。
2021年12月12日
亚信安(ān)全CERT监测发现Apache官方发布了Apache log4j-2 2.15.1-rc1版本,并在默认配置中(zhōng)禁用(yòng)了JNDI和Message lookups功能(néng)。
2021年12月13日
亚信安(ān)全CERT监测发现Apache官方发布了Apache Log4j-2 2.16.0-rc1(与2.16.0稳定版相同)版本,此版本在2.15.1-rc1的基础上,移除掉了存在漏洞的Message lookups功能(néng)。
2021年12月14日
亚信安(ān)全CERT监测发现Apache官方公(gōng)开了Apache Log4j 1.2.x版本在特定配置时存在JMSAppender反序列化代码执行漏洞(CVE-2021-4104),同日发布了Apache Log4j-2 2.12.2-rc1(与2.12.2稳定版相同)版本,默认配置禁用(yòng)了JNDI,并移除掉存在漏洞的Message lookups功能(néng),此版本支持Java 7。
2021年12月15日
亚信安(ān)全CERT监测发现Apache官方公(gōng)开披露Apache Log4j-2的DoS漏洞(CVE-2021-45046)。
2021年12月17日
亚信安(ān)全CERT监测发现Apache log4j-2的DoS漏洞被更新(xīn)為(wèi)代码执行漏洞(CVE-2021-45046),同期CVSS评分(fēn)从3.7上升為(wèi)9.0分(fēn)。
2021年12月18日
亚信安(ān)全CERT监测发现Apache官方发布了Apache Log4j-2 2.17.0版本,公(gōng)开了Apache Log4j-2存在Dos漏洞(CVE-2021-45105)。
八、Apache log4j-2漏洞安(ān)全版本
CVE-2021-44228
Apache Log4j-2 <= 2.15.0-rc1
CVE-2021-45046
2.0-beta9 <= Apache Log4j <= 2.12.1
2.13.0<= Apache Log4j <= 2.15.0-rc2(与2.15.0稳定版相同)
注:该漏洞只有(yǒu)log4j-core的jar文(wén)件受此漏洞影响。
CVE-2021-4104
Apache Log4j =1.2.x
CVE-2021-45105
2.0-alpha1 <= Apache Log4j <=2.16.0
注:目前 Apache log4j-2 安(ān)全版本
Java 6 版本可(kě)使用(yòng) Apache log4j-2 2.3版本
Java 7 版本可(kě)使用(yòng) Apache log4j-2 2.12.2版本
Java 8 及以上版本可(kě)使用(yòng) Apache log4j-2 2.17.0版本
目前针对Apache log4j 1.x版本已在2015年停止维护
九、参考链接
https://logging.apache.org/log4j/2.x/download.html
分(fēn)享到微信
X