2021年12月18日,8087金沙娱场城CERT监测发现Apache官方发布新版本,修复了Apache Log4j2 拒绝服务攻击漏洞(CVE-2021-45105)。当系统日志配置使用带有Context lookups的非默认Pattern Layout时,攻击者可构造包含递归查找的恶意输入数据,成功利用此漏洞将触发无限循环,最终导致系统崩溃。
Apache Log4j 1.x并不受此漏洞影响。只有log4j-core依赖受此漏洞影响,若仅使用log4j-api而不使用log4j-core依赖的应用程序亦不受此漏洞影响。
目前官方已提供修复补丁,鉴于该漏洞受影响面广大且在未来一段时间存在绕过风险,8087金沙娱场城CERT建议使用Apache Log4j-2的用户应尽快排查所使用的版本并采取相关措施。请大家及时关注公众号和官方安全通告。
Apache Log4j-2是美国阿帕奇(Apache)公司的基于Apache Log4j框架进行重构和升级,引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组件等,并通过定义每一条日志信息的级别,使其能更加细致地控制日志的生成过程。
CVE-2021-45105 : Apache Log4j-2拒绝服务漏洞
2.0-Beta9 <= Apache <= 2.16.0
2021年12月9日
8087金沙娱场城CERT监测到Apache Log4j-2远程代码执行漏洞(CVE-2021-44228)。
2021年12月10日
8087金沙娱场城CERT确认Apache Log4j-2 2.15.0-rc1 版本仅修复LDAP和增加了host白名单,非默认配置下可以被绕过利用;官方对此发布了Apache Log4j-2 2.15.0-rc2版本(与2.15.0稳定版相同)进行修复,增加了对urI异常的处理。
2021年12月12日
8087金沙娱场城CERT监测发现Apache官方发布了Apache log4j-2 2.15.1-rc1版本,并在默认配置中禁用了JNDI和Message lookups功能。
2021年12月13日
8087金沙娱场城CERT监测发现Apache官方发布了Apache Log4j-2 2.16.0-rc1(与2.16.0稳定版相同)版本,此版本在2.15.1-rc1的基础上,移除掉了存在漏洞的Message lookups功能。
2021年12月14日
8087金沙娱场城CERT监测发现Apache官方公开了Apache Log4j 1.2.x版本在特定配置时存在JMSAppender反序列化代码执行漏洞(CVE-2021-4104),同日发布了Apache Log4j-2 2.12.2-rc1(与2.12.2稳定版相同)版本,默认配置禁用了JNDI,并移除掉存在漏洞的Message lookups功能,此版本支持Java 7。
2021年12月15日
8087金沙娱场城CERT监测发现Apache官方公开披露Apache Log4j-2的DoS漏洞(CVE-2021-45046)。
2021年12月17日
8087金沙娱场城CERT监测发现Apache log4j-2的DoS漏洞被更新为代码执行漏洞(CVE-2021-45046),同期CVSS评分从3.7上升为9.0分。
2021年12月18日
8087金沙娱场城CERT监测发现Apache官方发布了Apache Log4j-2 2.17.0版本,公开了Apache Log4j-2存在Dos漏洞(CVE-2021-45105)。
CVE-2021-44228
Apache Log4j-2 <= 2.15.0-rc1
CVE-2021-45046
2.0-beta9 <= Apache Log4j <= 2.12.1
2.13.0<= Apache Log4j <= 2.15.0-rc2(与2.15.0稳定版相同)
注:该漏洞只有log4j-core的jar文件受此漏洞影响。
CVE-2021-4104
Apache Log4j =1.2.x
CVE-2021-45105
2.0-alpha1 <= Apache Log4j <=2.16.0
注:目前 Apache log4j-2 安全版本
Java 6 版本可使用 Apache log4j-2 2.3版本
Java 7 版本可使用 Apache log4j-2 2.12.2版本
Java 8 及以上版本可使用 Apache log4j-2 2.17.0版本
目前针对Apache log4j 1.x版本已在2015年停止维护
https://logging.apache.org/log4j/2.x/download.html