Apache Log4j2 组件再次被曝高危漏洞拒绝服务(CVE-2021-45105)

1.漏洞描述
log4j是apache实现的一个开源日志组件,logback同样是由log4j的作者设计完成的,拥有更好的特性,用来取代log4j的一个日志框架,是slf4j的原生实现。Log4j2是log4j 1.x和logback的改进版,据说采用了一些新技术(无锁异步、等等),使得日志的吞吐量、性能比log4j 1.x提高10倍,并解决了一些死锁的bug,而且配置更加简单灵活。该日志框架广泛应用于业务系统,用来记录日志信息。Apache Log4j2 组件再次被曝出存在拒绝服务漏洞的信息。漏洞编号:CVE-2021-45105,漏洞威胁等级:高危

Apache Log4j2 组件再次被曝高危漏洞拒绝服务(CVE-2021-45105)

Apache Log4j2 包含2.16.0在内的版本中没有防止来自自引用查找的不受控制的递归。当日志记录配置使用非默认的模式布局和上下文查找(例如,$${ctx:loginId})时,控制线程上下文映射 (MDC) 输入数据的攻击者可以手工创建包含递归查找的恶意输入数据,从而导致 StackOverflowError 将终止进程。这也称为 DOS(拒绝服务)攻击。

12月9日Apache log4j2远程代码执行漏洞(CVE-2021-44228)在互联网上被广泛传播以来,Apache log4j2 相关组件相继被发现了多个安全漏洞,官方也陆续发布了2.15.0-rc1、2.15.0-rc2、2.15.0、2.15.1-rc1、2.16.0 、2.17.0等升级版本。

2.供应链影响

根据非权威统计,直接和间接引用Log4j的开源组件预计超过17万个。目前已知的受影响的应用和组件包括:Apache Solr、Apache Struts2、Apache Flink、Apache Druid、Apache Log4j SLF4J Binding、spring-boot-strater-log4j2、Hadoop Hive、ElasticSearch、Jedis、Logging、Logstash以及VMware多个产品等。

由于该漏洞的影响范围是全球性的,国外各大知名企业和组织的产品均受影响,如Amazon、Apache、Atlassian、Cisco、Debian、Docker、Fortinet、Google、IBM、英特尔、Juniper Networ、微软、Oracle、Red Hat、Ubuntu和VMware等。

CVE-2021-44228漏洞的利用难度低,默认配置即可远程利用,且PoC/EXP已在互联网上公开,现已被网络犯罪团伙广泛利用。

3.漏洞影响范围

CVE-2021-4104:Apache Log4j 1.2

CVE-2021-44228:Apache Log4j 2.0-beta9 – 2.12.1 、Apache Log4j 2.13.0 – 2.15.0-rc1

CVE-2021-45046:Apache Log4j 2.0-beta9 – 2.12.1、Apache Log4j 2.13.0-2.15.0

4.影响版本

CVE-2021-44228 Apache Log4j 远程代码执行漏洞:
2.0-beta9 <=Apache Log4j 2.x < 2.15.0 (2.12.2 版本不受影响)

CVE-2021-45046 Apache Log4j 拒绝服务与远程代码执行漏洞:
2.0-beta9 <=Apache Log4j 2.x < 2.15.0(2.12.2 版本不受影响)

CVE-2021-4104 ApacheLog4j 1.2 JMSAppender 远程代码执行漏洞:
Apache Log4j =1.2

CVE-2021-45105 Apache Log4j2 拒绝服务漏洞:
2.0-beta9 <=Apache Log4j<= 2.16.0

5.修复建议:
1.官方升级最新版本
https://github.com/apache/logging-log4j2/tags
2. 部署RASP(Runtime application self-protection)运行时应用自我保护。

6.参考:
https://www.venustech.com.cn/new_type/aqtg/20211216/23340.html
https://security.snyk.io/vuln/SNYK-JAVA-ORGAPACHELOGGINGLOG4J-2321524
https://github.com/jas502n/Log4j2-CVE-2021-44228
https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html

原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/apache-log4j2-component-denial-of-service.html

(56)
上一篇 2021年12月17日 下午3:00
下一篇 2021年12月20日 下午8:31

相关推荐