警惕!Apache Log4j存在多个安全漏洞
0x01漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02漏洞描述
Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。
2022年1月19日,360漏洞云团队监测到Apache发布安全公告,修复了多个存在于Apache Log4j中的漏洞。其中,1个严重漏洞,2个高危漏洞。漏洞详情如下:
1. Apache Log4j反序列化漏洞
Apache Log4j反序列化漏洞 漏洞编号 CVE-2022-23307 漏洞类型 反序列化 漏洞等级 严重 公开状态 未知 在野利用 未知 漏洞描述 由于处理序列化数据时不安全的输入验证而存在该漏洞。远程攻击者可以将特制数据传递给应用程序并在目标系统上执行任意代码。 成功利用此漏洞可能会导致易受攻击的系统完全受到攻击。 |
2. Apache Log4j反序列化漏洞
Apache Log4j反序列化漏洞 漏洞编号 CVE-2022-23302 漏洞类型 反序列化 漏洞等级 高危 公开状态 未知 在野利用 未知 漏洞描述 该漏洞是由于在 JMSSink 中处理序列化数据时输入验证不安全。远程攻击者可以提供一个 TopicConnection-FactoryBindingName配置,导致 JMSSink 执行 JNDI 请求并在目标系统上执行任意代码。 请注意,利用此漏洞需要支持 JMSSink 的非默认配置。 |
3. Apache Log4j SQL注入漏洞
Apache Log4j SQL注入漏洞 漏洞编号 CVE-2022-23305 漏洞类型 SQL注入 漏洞等级 高危 公开状态 未知 在野利用 未知 漏洞描述 该漏洞是由于 JDBCAppender 中用户提供的数据未充分清理而存在的。远程攻击者可以向受影响的应用程序发送特制请求,并在应用程序数据库中执行任意 SQL 命令。 请注意,利用该漏洞需要启用 JDBCAppender 的非默认配置。 |
0x03漏洞等级
高危~严重
0x04影响版本
Apache Log4j 1.x
Apache Chainsaw < 2.1.0
0x05修复建议
CVE-2022-23307:升级到Apache Log4j 2和Apache Chainsaw 2.1.0。
CVE-2022-23302:用户应该升级到Log4j 2 或从他们的配置中删除 JMSSink 的使用。
CVE-2022-23305:用户应该升级到Log4j 2 或从他们的配置中删除JDBCAppender 的使用。
2015 年 8 月 5 日,Logging Services 项目管理委员会宣布 Log4j 1.x 已经结束生命周期。由于不再维护 Log4j 1,因此列出的任何问题都不会得到修复。建议 Log4j 1 的用户升级到Apache Log4j 2。
