Apache Log4j2 元件再次被曝高危險漏洞拒絕服務(CVE-2021-45105)

1.漏洞描述
log4j是apache實作的一個開源日誌元件,logback同樣是由log4j的作者設計完成的,擁有更好的特性,用來取代log4j的一個日誌框架,是slf4j的原生實作。 Log4j2是log4j 1.x和logback的改進版,據說採用了一些新技術(無鎖異步、等等),使得日誌的吞吐量、性能比log4j 1.x提高10倍,並解決了一些死鎖的bug,而且配置更加簡單靈活。此日誌框架廣泛應用於業務系統,用來記錄日誌資訊。 Apache Log4j2 元件再次被曝出存在拒絕服務漏洞的資訊。漏洞編號:CVE-2021-45105,漏洞威脅等級:高危險

Apache Log4j2 元件再次被曝高危險漏洞拒絕服務(CVE-2021-45105)

Apache Log4j2 包含2.16.0在內的版本中沒有防止來自自引用查找的不受控制的遞歸。當日誌記錄配置使用非預設的模式佈局和上下文查找(例如,$${ctx:loginId})時,控制執行緒上下文映射(MDC) 輸入資料的攻擊者可以手動建立包含遞歸查找的惡意輸入數據,從而導致StackOverflowError 將終止進程。這也稱為DOS(拒絕服務)攻擊。

12月9日Apache log4j2遠端程式碼執行漏洞(CVE-2021-44228)在網路上被廣泛傳播以來,Apache log4j2 相關元件相繼被發現了多個安全漏洞,官方也陸續發布了2.15.0-rc1、2.15 .0-rc2、2.15.0、2.15.1-rc1、2.16.0 、2.17.0等升級版本。

2.供應鏈影響

根據非權威統計,直接和間接引用Log4j的開源元件預計超過17萬個。目前已知的受影響的應用和元件包括:Apache Solr、Apache Struts2、Apache Flink、Apache Druid、Apache Log4j SLF4J Binding、spring-boot-strater-log4j2、Hadoop Hive、ElasticSearch、Jedis、Logging、Logstash以及VM個產品等。

由於該漏洞的影響範圍是全球性的,國外各大知名企業和組織的產品均受影響,如Amazon、Apache、Atlassian、Cisco、Debian、Docker、Fortinet、Google、IBM、英特爾、Juniper Networ、微軟、 Oracle、Red Hat、Ubuntu和VMware等。

CVE-2021-44228漏洞的利用難度低,預設配置即可遠端利用,且PoC/EXP已在網路上公開,現已被網路犯罪集團廣泛利用。

3.漏洞影響範圍

CVE-2021-4104:Apache Log4j 1.2

CVE-2021-44228:Apache Log4j 2.0-beta9 – 2.12.1 、Apache Log4j 2.13.0 – 2.15.0-rc1

CVE-2021-45046:Apache Log4j 2.0-beta9 – 2.12.1、Apache Log4j 2.13.0-2.15.0

4.影響版本

CVE-2021-44228 Apache Log4j 遠端程式碼執行漏洞:
2.0-beta9 <=Apache Log4j 2.x < 2.15.0 (2.12.2 版本不受影響)

CVE-2021-45046 Apache Log4j 拒絕服務與遠端程式碼執行漏洞:
2.0-beta9 <=Apache Log4j 2.x < 2.15.0(2.12.2 版本不受影響)

CVE-2021-4104 ApacheLog4j 1.2 JMSAppender 遠端程式碼執行漏洞:
Apache Log4j =1.2

CVE-2021-45105 Apache Log4j2 拒絕服務漏洞:
2.0-beta9 <=Apache Log4j<= 2.16.0

5.修復建議:
1.官方升級最新版本
https://github.com/apache/logging-log4j2/tags
2. 部署RASP(Runtime application self-protection)執行階段套用自我保護。

6.參考:
https://www.venustech.com.cn/new_type/aqtg/20211216/23340.html
https://security.snyk.io/vuln/SNYK-JAVA-ORGAPACHELOGGINGLOG4J-2321524
https://github.com/jas502n/Log4j2-CVE-2021-44228
https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html

原文文章,作者:首席安全官,如若轉載,請註明出處:https://cncso.com/tw/apache-log4j2-component-denial-of-service.html

讚! (56)
以前的 2021年12月17日下午3:00
下一個 2021年12月20日下午8:31

相關推薦