金沙娱场城(8087·China)官网-BinG百科NO.1


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

Apache Log4j-2拒绝服务漏洞,将触发无限循环,导致系统崩溃
发布时间 :2021年12月19日
分享:


一、漏洞描述


2021年12月18日,8087金沙娱场城CERT监测发现Apache官方发布新版本,修复了Apache Log4j2 拒绝服务攻击漏洞(CVE-2021-45105)。当系统日志配置使用带有Context lookups的非默认Pattern Layout时,攻击者可构造包含递归查找的恶意输入数据,成功利用此漏洞将触发无限循环,最终导致系统崩溃。


Apache Log4j 1.x并不受此漏洞影响。只有log4j-core依赖受此漏洞影响,若仅使用log4j-api而不使用log4j-core依赖的应用程序亦不受此漏洞影响。


目前官方已提供修复补丁,鉴于该漏洞受影响面广大且在未来一段时间存在绕过风险,8087金沙娱场城CERT建议使用Apache Log4j-2的用户应尽快排查所使用的版本并采取相关措施。请大家及时关注公众号和官方安全通告。


Apache Log4j-2是美国阿帕奇(Apache)公司的基于Apache Log4j框架进行重构和升级,引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组件等,并通过定义每一条日志信息的级别,使其能更加细致地控制日志的生成过程。


二、漏洞编号



 CVE-2021-45105 : Apache Log4j-2拒绝服务漏洞

 

三、漏洞评分


 暂无

 

四、漏洞状态

 

image.png

   

五、受影响的版本


 2.0-Beta9 <= Apache <= 2.16.0

 

六、修复建议


  • 鉴于Apache log4j-2官方已经发布更新版本,请尽快升级至2.17.0版本。

  • 临时性缓解措施

  • 在日志配置的PatternLayout中,用Thread Context Map模式(%X、%mdc、%MDC)替换${ctx:loginId}或$${ctx:loginId}等Context Lookups;

  • 在系统接收应用程序外部数据的场景中,在配置中删除对Context Lookups的引用(如${ctx:loginId}或$${ctx:loginId})。

七、Apache Log4j-2 漏洞时间线



2021年12月9日

8087金沙娱场城CERT监测到Apache Log4j-2远程代码执行漏洞(CVE-2021-44228)。


2021年12月10日

8087金沙娱场城CERT确认Apache Log4j-2 2.15.0-rc1 版本仅修复LDAP和增加了host白名单,非默认配置下可以被绕过利用;官方对此发布了Apache Log4j-2 2.15.0-rc2版本(与2.15.0稳定版相同)进行修复,增加了对urI异常的处理。


2021年12月12日

8087金沙娱场城CERT监测发现Apache官方发布了Apache log4j-2 2.15.1-rc1版本,并在默认配置中禁用了JNDI和Message lookups功能。


2021年12月13日

8087金沙娱场城CERT监测发现Apache官方发布了Apache Log4j-2 2.16.0-rc1(与2.16.0稳定版相同)版本,此版本在2.15.1-rc1的基础上,移除掉了存在漏洞的Message lookups功能。


2021年12月14日

8087金沙娱场城CERT监测发现Apache官方公开了Apache Log4j 1.2.x版本在特定配置时存在JMSAppender反序列化代码执行漏洞(CVE-2021-4104),同日发布了Apache Log4j-2 2.12.2-rc1(与2.12.2稳定版相同)版本,默认配置禁用了JNDI,并移除掉存在漏洞的Message lookups功能,此版本支持Java 7。


2021年12月15日

8087金沙娱场城CERT监测发现Apache官方公开披露Apache Log4j-2的DoS漏洞(CVE-2021-45046)。


2021年12月17日

8087金沙娱场城CERT监测发现Apache log4j-2的DoS漏洞被更新为代码执行漏洞(CVE-2021-45046),同期CVSS评分从3.7上升为9.0分。


2021年12月18日

8087金沙娱场城CERT监测发现Apache官方发布了Apache Log4j-2 2.17.0版本,公开了Apache Log4j-2存在Dos漏洞(CVE-2021-45105)。


八、Apache log4j-2漏洞安全版本


CVE-2021-44228

Apache Log4j-2 <= 2.15.0-rc1


CVE-2021-45046

2.0-beta9 <= Apache Log4j <= 2.12.1

2.13.0<= Apache Log4j <= 2.15.0-rc2(与2.15.0稳定版相同)

注:该漏洞只有log4j-core的jar文件受此漏洞影响。


CVE-2021-4104

Apache Log4j =1.2.x


CVE-2021-45105

2.0-alpha1 <= Apache Log4j <=2.16.0


注:目前 Apache log4j-2 安全版本

Java 6 版本可使用 Apache log4j-2 2.3版本

Java 7 版本可使用 Apache log4j-2 2.12.2版本

Java 8 及以上版本可使用 Apache log4j-2 2.17.0版本

目前针对Apache log4j 1.x版本已在2015年停止维护

九、参考链接


https://logging.apache.org/log4j/2.x/download.html

分享到微信
X