1. beschreibung der Schwachstelle
log4j ist Apache-Implementierung einer Open-Source-Logging-Komponente, logback ist auch durch den Autor von log4j entwickelt abgeschlossen, mit besseren Funktionen, verwendet, um log4j ein Logging-Framework zu ersetzen, ist eine native Implementierung von slf4j. log4j2 ist log4j 1.x und logback verbesserte Version, heißt es, dass die Verwendung einer Reihe von neuen Technologien (lockless asynchrone , und so weiter), so dass die Log-Durchsatz, Leistung als log4j 1.x zu verbessern 10-mal und lösen einige Deadlock-Bugs, und die Konfiguration ist einfacher und flexibler. Apache Log4j2 Komponente wurde wieder einmal auf die Existenz von Denial-of-Service-Schwachstellen in den Informationen ausgesetzt.Nummer der Sicherheitsanfälligkeit: CVE-2021-45105, Bedrohungsgrad der Sicherheitsanfälligkeit: Hohe Bedrohung
Apache Log4j2-Versionen einschließlich 2.16.0 verhindern nicht die unkontrollierte Rekursion von selbstreferentiellen Lookups. Wenn die Protokollierung mit einem nicht standardmäßigen Schema-Layout und kontextbezogenen Lookups (z. B. $${ctx:loginId}) konfiguriert ist, kann ein Angreifer, der die Eingabedaten des Thread Context Mappings (MDC) kontrolliert, manuell bösartige Eingabedaten erstellen, die rekursive Lookups enthalten, was einen StackOverflowError verursacht, um den Prozess zu beenden. Dies ist auch als DOS-Angriff (Denial of Service) bekannt.
9. Dezember Apache log4j2 Remote Code Execution Schwachstelle (CVE-2021-44228) wurde weit über das Internet verbreitet, Apache log4j2 verwandten Komponenten wurden mehrere Sicherheitslücken gefunden, die offizielle auch veröffentlicht 2.15.0-rc1, 2.15.0-rc2, 2.15.0, 2.15.1-rc1, 2.16.0, 2.17.0 und andere Upgrades. 2.15.0, 2.15.1-rc1, 2.15.0, 2.15.1-rc2, 2.15.0, 2.16.0, 2.17.0, etc.
2. die Auswirkungen auf die Lieferkette
Nicht-autorisierten Statistiken zufolge wird die Zahl der Open-Source-Komponenten, die direkt und indirekt auf Log4j verweisen, auf über 170.000 geschätzt Zu den derzeit bekannten betroffenen Anwendungen und Komponenten gehören Apache Solr, Apache Struts2, Apache Flink, Apache Druid, Apache Log4j SLF4J Binding, spring-boot-strater-log4j2, Hadoop Hive, ElasticSearch, Jedis, Logging, Logstash und mehrere VMware-Produkte.
Aufgrund der globalen Reichweite der Schwachstelle sind Produkte großer ausländischer Unternehmen und Organisationen betroffen, wie Amazon, Apache, Atlassian, Cisco, Debian, Docker, Fortinet, Google, IBM, Intel, Juniper Networ, Microsoft, Oracle, Red Hat, Ubuntu und VMware, um nur einige zu nennen.
Die Sicherheitslücke CVE-2021-44228 hat einen geringen Schwierigkeitsgrad, kann durch die Standardkonfiguration aus der Ferne ausgenutzt werden, und der PoC/EXP wurde im Internet veröffentlicht und wird nun in großem Umfang von cyberkriminellen Gruppen ausgenutzt.
3. der Umfang der Schwachstelle
CVE-2021-4104: Apache Log4j 1.2.
CVE-2021-44228: Apache Log4j 2.0-beta9 - 2.12.1 , Apache Log4j 2.13.0 - 2.15.0-rc1
CVE-2021-45046: Apache Log4j 2.0-beta9 - 2.12.1, Apache Log4j 2.13.0-2.15.0
4 Betroffene Versionen
CVE-2021-44228 Apache Log4j Sicherheitslücke bei der Remotecodeausführung:
2.0-beta9 <= Apache Log4j 2.x < 2.15.0 (Version 2.12.2 ist nicht betroffen)
CVE-2021-45046 Apache Log4j Denial of Service und Remote Code Execution Sicherheitslücke:
2.0-beta9 <= Apache Log4j 2.x < 2.15.0 (Version 2.12.2 ist nicht betroffen)
CVE-2021-4104 ApacheLog4j 1.2 JMSAppender Sicherheitslücke bei der Remotecodeausführung:
Apache Log4j =1.2
CVE-2021-45105 Apache Log4j2 Denial-of-Service-Schwachstelle:
2.0-beta9 <= Apache Log4j<= 2.16.0
5. die Empfehlungen zur Wiederherstellung:
1. offizielle Aktualisierung der neuesten Version
https://github.com/apache/logging-log4j2/tags
2 Setzen Sie RASP (Runtime application self-protection) ein.
6. referenz:
https://www.venustech.com.cn/new_type/aqtg/20211216/23340.html
https://security.snyk.io/vuln/SNYK-JAVA-ORGAPACHELOGGINGLOG4J-2321524
https://github.com/jas502n/Log4j2-CVE-2021-44228
https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/apache-log4j2-component-denial-of-service.html
