连曝三大漏洞,你的Apache Log4j还好吗

共 3563字,需浏览 8分钟

 ·

2021-12-20 04:05

出品 | OSC开源社区(ID:oschina2013)
继 CVE-2021-44228 和 CVE-2021-45046 之后发现的第三个 Log4Shell 漏洞。
距离 Apache Log4j “核弹级”漏洞的公开已过去将近一周,在此期间被记录的漏洞总共有两个,分别是 CVE-2021-44228 和 CVE-2021-45046。针对漏洞的补丁版本也早已发布:
  • Apache Log4j 2.16.0 已发布
  • Apache Log4j 2.15.0 发布,安全漏洞已得到解决
不过安全公司 Praetorian 的研究人员昨日表示,2.15.0 存在一个更严重的漏洞——信息泄露漏洞,可用于从受影响的服务器下载数据。
与此同时,Praetorian 已将该漏洞的所有技术细节发送给 Apache 软件基金会,他们尚未透露更多细节。Praetorian 强烈建议使用者尽快升级到 2.16.0,但尚不清楚此错误是否已在 2.16.0 版本中解决。
Praetorian 研究人员也无法确定数据泄露漏洞的在野利用。他们没有提供有关该漏洞的其他详细信息,这是因为不希望黑客轻易利用漏洞。
研究人员提供了新漏洞的概念验证:https://www.youtube.com/watch?v=bxDEJDqANig

Log4shell 漏洞背景说明

Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性,被大量用于业务系统开发,用来记录日志信息。
CVE-2021-44228 远程控制漏洞(RCE)影响从 2.0-beta9 到 2.14.1 的  Log4j  版本。受影响的 Log4j 版本包含 Java 命名和目录接口  (JNDI) 功能,可以执行如消息查找替换等操作,攻击者可以通过向易受攻击的系统提交特制的请求,从而完全控制系统,远程执行任意代码,然后进行窃取信息、启动勒索软件或其他恶意活动。
Apache Log4j2 安全补丁更新过程
  • 2021 年 12 月 11 日:发布 2.15.0 版本,对 JNDI 查询功能进行限制。但此版本的修复不完整,导致了第二个 Log4j 漏洞漏洞:CVE-2021-45046
  • 2021-12-13 发布 2.16.0 版本,为了解决 CVE-2021-45046 漏洞, Log4j 2.16.0 直接禁用了 JDNI 功能。

官方通告

  • CVE-2021-44228(Log4j2 初始漏洞)
Apache Log4j 2 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0 版本的 JNDI 功能在配置、日志消息和参数中使用,无法防止攻击者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时,控制日志消息或日志消息参数的攻击者可以执行从 LDAP 服务器加载的任意代码。从 log4j 2.15.0 开始,默认情况下已禁用此行为。从版本 2.16.0 开始,此功能已完全删除。请注意,此漏洞特定于 log4j-core,不会影响 log4net、log4cxx 或其他 Apache 日志服务项目。
  • CVE-2021-45046(Log4j 2.15.0 未完整修复的漏洞)
Apache Log4j 2.15.0 中针对 CVE-2021-44228 的修复在某些非默认配置中不完整。当日志配置使用非默认模式布局和上下文查找(例如,$${ctx:loginId})或线程上下文映射模式( %X、%mdc 或 %MDC)使用 JNDI 查找模式制作恶意输入数据,从而导致拒绝服务 (DOS) 攻击。默认情况下,Log4j 2.15.0 尽最大努力将 JNDI LDAP 查找限制为 localhost。Log4j 2.16.0 通过删除对消息查找模式的支持和默认禁用 JNDI 功能来修复此问题。
  • CVE-2021-4104(Log4j 1.2 版本问题)
当攻击者对 Log4j 配置具有写访问权限时,Log4j 1.2 中的 JMSAppender 容易受到不可信数据的反序列化。攻击者可以提供 TopicBindingName 和 TopicConnectionFactoryBindingName 配置,导致 JMSAppender 以类似于 CVE-2021-44228 的方式执行 JNDI 请求,从而导致远程代码执行。
注意, JMSAppender 不是 Log4j 的默认配置,因此此漏洞仅在特别配置为 JMSAppender 时才会影响 Log4j 1.2。事实上 Apache Log4j 1.2 已于 2015 年 8 月终止生命周期。用户应该升级到Log4j 2,因为它解决了以前版本的许多其他问题。

各组织/开源项目对 Log4Shell 漏洞的响应汇总

已修复/更新:
  • Metabase  v0.41.4 发布,解决 log4j2 漏洞问题
  • openEuler:欧拉开源社区 Log4j 高危安全漏洞修复完成
  • KubeSphere:Apache Log4j 2 远程代码执行最新漏洞的修复方案
  • MateCloud :4.2.8 正式版发布,修复 Log4j2 的安全漏洞
  • openLooKeng 开源社区: Apache Log4j2 高危安全漏洞修复完成
  • JPress 博客系统:发布新版,修复 Log4j 漏洞问题
  • Netty :4.1.72.Final 发布,更新 Log4j2 版本
  • Apache NiFi :1.5.1 紧急发布,修复 log4j2 相关问题
  • Jedis :3.7.1、4.0.0-rc2 发布,修复 Log4j 安全问题
  • Eurynome Cloud  v2.6.2.10 发布,修复 Apache Log4j2 安全问题
  • Jedis 3.7.1、4.0.0-rc2 发布,修复 Log4j 安全问题
  • Apache Solr :发布漏洞影响情况和缓解措施
  • Minecraft :发布漏洞声明和缓解方案
  • Apache Flink :关于 Apache Log4j 零日 (CVE-2021-44228) 的建议
  • Apache Druid:建议所有用户升级到 Druid 0.22.1
  • OpenSearch:重要提示:更新到 OpenSearch 1.2.1
  • OpenNMS:受 Apache Log4j 漏洞影响的 OpenNMS 产品 
  • IBM Cúram :可能会影响 Cúram Social Program
  • IBM WebSphere:受影响,已更新
不受影响:
  • Anolis OS 不受 Log4j 高危安全漏洞影响
  • SUSE :产品均不受影响
  • Apache Spark:不受影响
  • Curl / Libcurl :不受影响
  • Zabbix :不受影响
  • DBeaver :Log4j2 漏洞对我们的用户不危险
  • VideoLAN:核心已移植到 Kotlin ,不用 Log4j
  • Cloudflare:Cloudflare 如何安全应对 Log4j 2 漏洞
  • LastPass:不受影响
  • HackerOne:不受影响,能利用漏洞影响 H1 的人可获得 25000 美金奖励
影响待定
  • 华为:启动了调查分析,相关排查还在持续进行
  • 微软:除了明确涉及 Minecraft,其他的情况仍在调查
  • JetBrains: YouTrack Standalone、Hub、Upsource 和 Floating 许可证服务器受影响但已修复,其余仍在测试
发布漏洞相关工具
  • 360CERT:发布Log4j2恶意荷载批量检测调查工具
  • 腾讯容器安全:发布开源 Log4j2 漏洞缓解工具
此列表将持续更新,俺一个人能力有限,欢迎大家在评论区分享你所了解的公司/组织/开源项目对 Log4shell 漏洞的回应,格式为 公司/组织/项目名称 | 回应类别(已更新/修复/不受影响等)| 回应链接 此漏洞影响面太广,希望大家一起合作,避免更多组织或个人因此受到损失。
往期推荐


1、几行代码,撸了个 元宇宙?!(文末送书)

2、神器 Typora 开始收费!到底更新了啥?

3没有这个传奇工程师,就没有今天的Windows

4、欠债3000亿,宣布破产!昔日民族品牌,为何总沦为反面教材?

5、桌面版 Linux 为什么打不过 Window?Linus 现身说法


点击关注公众号,阅读更多精彩内容
浏览 22
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报