國家漏洞庫CNNVD：關于Apache Log4j 多個安全漏洞的預警

近日，Apache官方發布了多個安全漏洞的公告，包括Apache log4j 代碼問題漏洞（CNNVD-202201-1425、CVE-2022-23307）、Apache Log4j SQL注入漏洞（CNNVD-202201-1421、CVE-2022-23305）、Apache log4j 代碼問題漏洞（CNNVD-202201-1420、CVE-2022-23302）等。成功利用上述漏洞的攻擊者可以在目標系統上執行惡意代碼。Apache Log4j 1.x、Apache Chainsaw 2.1.0之前版本均受漏洞影響。目前，Apache官方已經發布了新版本修復了漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹

Apache Log4j是美國阿帕奇（Apache）基金會的一款基于Java的開源日志記錄工具。

   1、Apache log4j 代碼問題漏洞（CNNVD-202201-1425、CVE-2022-23307）：

   漏洞源于程序處理序列化數據時對輸入驗證不足導致，攻擊者通過將特制數據傳遞給應用程序，從而執行任意代碼。

2、Apache Log4j SQL注入漏洞（CNNVD-202201-1421、CVE-2022-23305）：

  漏洞源于程序中的JDBCAppender對用戶提供的數據過濾不嚴格導致，攻擊者可利用漏洞向目標系統發送特制請求，進而在應用程序數據庫中執行任意SQL命令。

3、Apache log4j 代碼問題漏洞（CNNVD-202201-1420、CVE-2022-23302）：

   漏洞源于程序處理序列化數據時對輸入驗證不足導致，攻擊者可通過提供一個TopicConnection-FactoryBindingName配置，使程序中的JMSSink執行JNDI請求，進而執行任意代碼。

二、漏洞影響

成功利用上述漏洞的攻擊者可以在目標系統上執行惡意代碼。Apache Log4j 1.x、Apache Chainsaw 2.1.0之前版本均受漏洞影響。

三、修復建議

目前，Apache官方已經發布了新版本修復了漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。Apache官方補丁下載地址：

https://logging.apache.org/chainsaw/2.x/download.html

本通報由CNNVD技術支撐單位——北京華云安信息技術有限公司、北京國舜科技股份有限公司、杰潤鴻預遠（北京）科技有限公司、北京數字觀星科技有限公司、新華三技術有限公司、北京鴻騰智能科技有限公司、亞信科技（成都）有限公司、深信服科技股份有限公司、北京神州綠盟科技有限公司等技術支撐單位提供支持。

  CNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯系。聯系方式: cnnvdvul@itsec.gov.cn