股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告
安全通告
Apache Log4j-2拒绝服务漏洞,将触发无限循环,导致系统崩溃
发布时间 :2021年12月19日
分享:
一、漏洞描述
2021年12月18日,威尼斯432888camCERT监测发现Apache官方发布新版本,修复了Apache Log4j2 拒绝服务攻击漏洞(CVE-2021-45105)。当系统日志配置使用带有Context lookups的非默认Pattern Layout时,攻击者可构造包含递归查找的恶意输入数据,成功利用此漏洞将触发无限循环,最终导致系统崩溃。
Apache Log4j 1.x并不受此漏洞影响。只有log4j-core依赖受此漏洞影响,若仅使用log4j-api而不使用log4j-core依赖的应用程序亦不受此漏洞影响。
目前官方已提供修复补丁,鉴于该漏洞受影响面广大且在未来一段时间存在绕过风险,威尼斯432888camCERT建议使用Apache Log4j-2的用户应尽快排查所使用的版本并采取相关措施。请大家及时关注公众号和官方安全通告。
Apache Log4j-2是美国阿帕奇(Apache)公司的基于Apache Log4j框架进行重构和升级,引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组件等,并通过定义每一条日志信息的级别,使其能更加细致地控制日志的生成过程。
二、漏洞编号
CVE-2021-45105 : Apache Log4j-2拒绝服务漏洞
三、漏洞评分
暂无
四、漏洞状态
五、受影响的版本
2.0-Beta9 <= Apache <= 2.16.0
六、修复建议
鉴于Apache log4j-2官方已经发布更新版本,请尽快升级至2.17.0版本。
临时性缓解措施
在日志配置的PatternLayout中,用Thread Context Map模式(%X、%mdc、%MDC)替换${ctx:loginId}或$${ctx:loginId}等Context Lookups;
在系统接收应用程序外部数据的场景中,在配置中删除对Context Lookups的引用(如${ctx:loginId}或$${ctx:loginId})。
七、Apache Log4j-2 漏洞时间线
2021年12月9日
威尼斯432888camCERT监测到Apache Log4j-2远程代码执行漏洞(CVE-2021-44228)。
2021年12月10日
威尼斯432888camCERT确认Apache Log4j-2 2.15.0-rc1 版本仅修复LDAP和增加了host白名单,非默认配置下可以被绕过利用;官方对此发布了Apache Log4j-2 2.15.0-rc2版本(与2.15.0稳定版相同)进行修复,增加了对urI异常的处理。
2021年12月12日
威尼斯432888camCERT监测发现Apache官方发布了Apache log4j-2 2.15.1-rc1版本,并在默认配置中禁用了JNDI和Message lookups功能。
2021年12月13日
威尼斯432888camCERT监测发现Apache官方发布了Apache Log4j-2 2.16.0-rc1(与2.16.0稳定版相同)版本,此版本在2.15.1-rc1的基础上,移除掉了存在漏洞的Message lookups功能。
2021年12月14日
威尼斯432888camCERT监测发现Apache官方公开了Apache Log4j 1.2.x版本在特定配置时存在JMSAppender反序列化代码执行漏洞(CVE-2021-4104),同日发布了Apache Log4j-2 2.12.2-rc1(与2.12.2稳定版相同)版本,默认配置禁用了JNDI,并移除掉存在漏洞的Message lookups功能,此版本支持Java 7。
2021年12月15日
威尼斯432888camCERT监测发现Apache官方公开披露Apache Log4j-2的DoS漏洞(CVE-2021-45046)。
2021年12月17日
威尼斯432888camCERT监测发现Apache log4j-2的DoS漏洞被更新为代码执行漏洞(CVE-2021-45046),同期CVSS评分从3.7上升为9.0分。
2021年12月18日
威尼斯432888camCERT监测发现Apache官方发布了Apache Log4j-2 2.17.0版本,公开了Apache Log4j-2存在Dos漏洞(CVE-2021-45105)。
八、Apache log4j-2漏洞安全版本
CVE-2021-44228
Apache Log4j-2 <= 2.15.0-rc1
CVE-2021-45046
2.0-beta9 <= Apache Log4j <= 2.12.1
2.13.0<= Apache Log4j <= 2.15.0-rc2(与2.15.0稳定版相同)
注:该漏洞只有log4j-core的jar文件受此漏洞影响。
CVE-2021-4104
Apache Log4j =1.2.x
CVE-2021-45105
2.0-alpha1 <= Apache Log4j <=2.16.0
注:目前 Apache log4j-2 安全版本
Java 6 版本可使用 Apache log4j-2 2.3版本
Java 7 版本可使用 Apache log4j-2 2.12.2版本
Java 8 及以上版本可使用 Apache log4j-2 2.17.0版本
目前针对Apache log4j 1.x版本已在2015年停止维护
九、参考链接
https://logging.apache.org/log4j/2.x/download.html
分享到微信
X