警惕!Apache Log4j存在多個安全漏洞
0x01漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02漏洞描述
Log4j是Apache的一個開源項目,通過使用Log4j,我們可以控制日志信息輸送的目的地是控制臺、文件、GUI組件,甚至是套接口服務器、NT的事件記錄器、UNIX Syslog守護進程等;我們也可以控制每一條日志的輸出格式;通過定義每一條日志信息的級別,我們能夠更加細致地控制日志的生成過程。
2022年1月19日,360漏洞云團隊監測到Apache發布安全公告,修復了多個存在于Apache Log4j中的漏洞。其中,1個嚴重漏洞,2個高危漏洞。漏洞詳情如下:
1. Apache Log4j反序列化漏洞
Apache Log4j反序列化漏洞 漏洞編號 CVE-2022-23307 漏洞類型 反序列化 漏洞等級 嚴重 公開狀態 未知 在野利用 未知 漏洞描述 由于處理序列化數據時不安全的輸入驗證而存在該漏洞。遠程攻擊者可以將特制數據傳遞給應用程序并在目標系統上執行任意代碼。 成功利用此漏洞可能會導致易受攻擊的系統完全受到攻擊。 |
2. Apache Log4j反序列化漏洞
Apache Log4j反序列化漏洞 漏洞編號 CVE-2022-23302 漏洞類型 反序列化 漏洞等級 高危 公開狀態 未知 在野利用 未知 漏洞描述 該漏洞是由于在 JMSSink 中處理序列化數據時輸入驗證不安全。遠程攻擊者可以提供一個 TopicConnection-FactoryBindingName配置,導致 JMSSink 執行 JNDI 請求并在目標系統上執行任意代碼。 請注意,利用此漏洞需要支持 JMSSink 的非默認配置。 |
3. Apache Log4j SQL注入漏洞
Apache Log4j SQL注入漏洞 漏洞編號 CVE-2022-23305 漏洞類型 SQL注入 漏洞等級 高危 公開狀態 未知 在野利用 未知 漏洞描述 該漏洞是由于 JDBCAppender 中用戶提供的數據未充分清理而存在的。遠程攻擊者可以向受影響的應用程序發送特制請求,并在應用程序數據庫中執行任意 SQL 命令。 請注意,利用該漏洞需要啟用 JDBCAppender 的非默認配置。 |
0x03漏洞等級
高危~嚴重
0x04影響版本
Apache Log4j 1.x
Apache Chainsaw < 2.1.0
0x05修復建議
CVE-2022-23307:升級到Apache Log4j 2和Apache Chainsaw 2.1.0。
CVE-2022-23302:用戶應該升級到Log4j 2 或從他們的配置中刪除 JMSSink 的使用。
CVE-2022-23305:用戶應該升級到Log4j 2 或從他們的配置中刪除JDBCAppender 的使用。
2015 年 8 月 5 日,Logging Services 項目管理委員會宣布 Log4j 1.x 已經結束生命周期。由于不再維護 Log4j 1,因此列出的任何問題都不會得到修復。建議 Log4j 1 的用戶升級到Apache Log4j 2。
