• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 其他
  • -
    • Apache Log4j 多個(gè)安全漏洞(含反序列化漏洞與SQL注入漏洞?。?/span>
    • CNNVD編號(hào):未知
    • 危害等級(jí): 高危 
    • CVE編號(hào):CVE-2022-23307、CVE-2022-23302、CVE-2022-23305
    • 漏洞類型: 其他
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:金山毒霸
    • 發(fā)布時(shí)間:2022-01-21
    • 更新時(shí)間:2022-01-21

    漏洞簡(jiǎn)介

    CVE-2022-23305


    由于Log4j 1.2.x中的JDBCAppender接受SQL語句作為配置參數(shù),PatternLayout的消息轉(zhuǎn)換器未對(duì)其中輸入的值進(jìn)行過濾。攻擊者可通過構(gòu)造特殊的字符串到記錄應(yīng)用程序輸入的內(nèi)容中來操縱SQL,從而實(shí)現(xiàn)非法的SQL查詢。Log4j默認(rèn)配置時(shí)不受此漏洞影響。


    CVE-2022-23302


    當(dāng)攻擊者具有修改Log4j配置的權(quán)限或配置引用了攻擊者有權(quán)訪問的LDAP服務(wù)時(shí),Log4j1.x所有版本中的JMSSink 都容易受到不可信數(shù)據(jù)的反序列化。攻擊者可以提供一個(gè)TopicConnectionFactoryBindingName配置,利用JMSSink執(zhí)行JNDI請(qǐng)求,從而以與CVE-2021-4104類似的方式遠(yuǎn)程執(zhí)行代碼。Log4j默認(rèn)配置時(shí)不受此漏洞影響。


    CVE-2022-23307


    Log4j 1.2.x中的日志查看器Chainsaw中存在反序列化問題,可能造成任意代碼執(zhí)行,該漏洞此前被命名為CVE-2020-9493,官方已發(fā)布Apache Chainsaw 2.1.0版本進(jìn)行修復(fù)。Log4j默認(rèn)情況下未配置Chainsaw使用。

    漏洞公示

    Log4j是Apache的一個(gè)開源項(xiàng)目,通過使用Log4j,我們可以控制日志信息輸送的目的地是控制臺(tái)、文件、GUI組件,甚至是套接口服務(wù)器、NT的事件記錄器、UNIX Syslog守護(hù)進(jìn)程等;我們也可以控制每一條日志的輸出格式;通過定義每一條日志信息的級(jí)別,我們能夠更加細(xì)致地控制日志的生成過程。

    毒霸安全專家建議廣大用戶及時(shí)將Log4j版本升級(jí)至最新版本,請(qǐng)做好資產(chǎn)自查以及預(yù)防工作,避免因?yàn)樵撀┒丛馐芎诳凸簟?/p>

    受影響實(shí)體

    Apache Log4j 1.x

    Apache Chainsaw < 2.1.0

    補(bǔ)丁

    由于2015年Apache官方已停止Log4j 1.x的維護(hù),毒霸安全專家建議受影響的用戶盡快升級(jí)到安全版本。


    (1)從當(dāng)前版本升級(jí)到2.x版本相關(guān)遷移文檔如下:

        https://logging.apache.org/log4j/2.x/manual/migration.html


    (2)以下版本目前為安全版本:

        Apache Log4j 2.17.1-rc1

        Apache Log4j 2.12.4-rc1

        Apache Log4j 2.3.2-rc1


     

    緩解措施:

    1. Apache log4j JMSSink反序列化代碼執(zhí)行漏洞(CVE-2022-23302)緩解措施如下:

    (1)注釋掉或刪除 Log4j 配置中的 JMSSink;

    (2)限制系統(tǒng)用戶對(duì)應(yīng)用程序平臺(tái)的訪問,以防止攻擊者修改 Log4j 的配置;

    (3)使用下列命令,從log4j jar包中刪除 JMSSink 類文件:

    zip -q -d log4j-*.jar org/apache/log4j/net/JMSSink.class

    2. Apache log4j Chainsaw反序列化代碼執(zhí)行漏洞(CVE-2022-23307)緩解措施如下:

    (1)不要將 Chainsaw 配置為讀取序列化的日志事件,可以使用其他接收器,例如 XMLSocketReceiver。


    3. Apache log4j JDBCAppender SQL注入漏洞(CVE-2022-23305)緩解措施如下:

    (1)從Log4j的配置文件中刪除JDBCAppender的使用。