• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 其他
  • -
    • Apache Log4j 多個安全漏洞(含反序列化漏洞與SQL注入漏洞!)
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2022-23307、CVE-2022-23302、CVE-2022-23305
    • 漏洞類型: 其他
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:金山毒霸
    • 發(fā)布時間:2022-01-21
    • 更新時間:2022-01-21

    漏洞簡介

    CVE-2022-23305


    由于Log4j 1.2.x中的JDBCAppender接受SQL語句作為配置參數(shù),PatternLayout的消息轉(zhuǎn)換器未對其中輸入的值進行過濾。攻擊者可通過構(gòu)造特殊的字符串到記錄應(yīng)用程序輸入的內(nèi)容中來操縱SQL,從而實現(xiàn)非法的SQL查詢。Log4j默認(rèn)配置時不受此漏洞影響。


    CVE-2022-23302


    當(dāng)攻擊者具有修改Log4j配置的權(quán)限或配置引用了攻擊者有權(quán)訪問的LDAP服務(wù)時,Log4j1.x所有版本中的JMSSink 都容易受到不可信數(shù)據(jù)的反序列化。攻擊者可以提供一個TopicConnectionFactoryBindingName配置,利用JMSSink執(zhí)行JNDI請求,從而以與CVE-2021-4104類似的方式遠(yuǎn)程執(zhí)行代碼。Log4j默認(rèn)配置時不受此漏洞影響。


    CVE-2022-23307


    Log4j 1.2.x中的日志查看器Chainsaw中存在反序列化問題,可能造成任意代碼執(zhí)行,該漏洞此前被命名為CVE-2020-9493,官方已發(fā)布Apache Chainsaw 2.1.0版本進行修復(fù)。Log4j默認(rèn)情況下未配置Chainsaw使用。

    漏洞公示

    Log4j是Apache的一個開源項目,通過使用Log4j,我們可以控制日志信息輸送的目的地是控制臺、文件、GUI組件,甚至是套接口服務(wù)器、NT的事件記錄器、UNIX Syslog守護進程等;我們也可以控制每一條日志的輸出格式;通過定義每一條日志信息的級別,我們能夠更加細(xì)致地控制日志的生成過程。

    毒霸安全專家建議廣大用戶及時將Log4j版本升級至最新版本,請做好資產(chǎn)自查以及預(yù)防工作,避免因為該漏洞遭受黑客攻擊。

    受影響實體

    Apache Log4j 1.x

    Apache Chainsaw < 2.1.0

    補丁

    由于2015年Apache官方已停止Log4j 1.x的維護,毒霸安全專家建議受影響的用戶盡快升級到安全版本。


    (1)從當(dāng)前版本升級到2.x版本相關(guān)遷移文檔如下:

        https://logging.apache.org/log4j/2.x/manual/migration.html


    (2)以下版本目前為安全版本:

        Apache Log4j 2.17.1-rc1

        Apache Log4j 2.12.4-rc1

        Apache Log4j 2.3.2-rc1


     

    緩解措施:

    1. Apache log4j JMSSink反序列化代碼執(zhí)行漏洞(CVE-2022-23302)緩解措施如下:

    (1)注釋掉或刪除 Log4j 配置中的 JMSSink;

    (2)限制系統(tǒng)用戶對應(yīng)用程序平臺的訪問,以防止攻擊者修改 Log4j 的配置;

    (3)使用下列命令,從log4j jar包中刪除 JMSSink 類文件:

    zip -q -d log4j-*.jar org/apache/log4j/net/JMSSink.class

    2. Apache log4j Chainsaw反序列化代碼執(zhí)行漏洞(CVE-2022-23307)緩解措施如下:

    (1)不要將 Chainsaw 配置為讀取序列化的日志事件,可以使用其他接收器,例如 XMLSocketReceiver。


    3. Apache log4j JDBCAppender SQL注入漏洞(CVE-2022-23305)緩解措施如下:

    (1)從Log4j的配置文件中刪除JDBCAppender的使用。