多個Log4j 1.x的漏洞

 漏洞資訊     |      2022-01-21

一、  漏洞描述

Apache發(fā)布安全公告披露了3個Log4j的漏洞,均影響Apache Log4j 1.x版本,且官方不再進行支持維護,請相關(guān)用戶盡快采取措施進行防護。

二、  漏洞詳情

CVE-2022-23302: Apache log4j JMSSink反序列化代碼執(zhí)行漏洞

CVE: CVE-2022-23302

組件: log4j

漏洞類型: 代碼問題

影響: 信息泄露

簡述: 當(dāng)攻擊者具有修改Log4j配置的權(quán)限或配置引用了攻擊者有權(quán)訪問的LDAP服務(wù)時,Log4j1.x所有版本中的JMSSink 都容易受到不可信數(shù)據(jù)的反序列化。攻擊者可以提供一個TopicConnectionFactoryBindingName 配置,利用JMSSink執(zhí)行JNDI請求,從而以與CVE-2021-4104類似的方式遠程執(zhí)行代碼。Log4j默認配置時不受此漏洞影響。

CVE-2022-23305: Apache log4j JDBCAppender SQL注入漏洞

CVE: CVE-2022-23305

組件: log4j

漏洞類型: 代碼問題

影響: SQL注入

簡述: 由于Log4j 1.2.x中的JDBCAppender接受SQL語句作為配置參數(shù),PatternLayout的消息轉(zhuǎn)換器未對其中輸入的值進行過濾。攻擊者可通過構(gòu)造特殊的字符串到記錄應(yīng)用程序輸入的內(nèi)容中來操縱SQL,從而實現(xiàn)非法的SQL查詢。Log4j默認配置時不受此漏洞影響。

CVE-2022-23307: Apache log4j Chainsaw反序列化代碼執(zhí)行漏洞

CVE: CVE-2022-23307

組件: log4j

漏洞類型: 代碼問題

影響: 反序列化代碼執(zhí)行

簡述: Log4j 1.2.x中的日志查看器Chainsaw中存在反序列化問題,可能造成任意代碼執(zhí)行,該漏洞此前被命名為CVE-2020-9493,官方已發(fā)布Apache Chainsaw 2.1.0版本進行修復(fù)。Log4j默認情況下未配置Chainsaw使用。

Chainsaw v2是由Log4j開發(fā)社區(qū)成員編寫的與Log4j配套的應(yīng)用程序,是一個基于GUI的日志查看器,可以讀取Log4j的XMLLayout格式的日志文件。

三、  影響版本


影響產(chǎn)品或系統(tǒng)版本

安全版本

Apache log4j

Apache log4j 1.X

四、  安全版本

見三

五、  安全建議

通用修補建議:

Apache Log4j 1.x版本,官方不再進行支持維護,請相關(guān)用戶盡快采取措施進行防護。