- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
漏洞综述
漏洞背景
Log4j是Apache的一个开源项目,它允许开发者以任意间隔输出日志信息,控制每一条日志的输出格式,通过定义每一条日志信息的级别,还能够更加细致地控制日志的生成过程。近日,新华三攻防实验室威胁预警团队监测到Apache官方发布安全公告,披露了Apache Log4j的多个漏洞,其中包含1个严重漏洞(CVE-2022-23307),2个高危漏洞(CVE-2022-23302&CVE-2022-23305)。
漏洞详情
1、CVE-2022-23302 Apache log4j JMSSink 反序列化代码执行漏洞
当恶意攻击者具有修改Log4j配置权限或因为配置不当导致恶意攻击者可以访问LDAP服务时,所有版本的JMSSink都会受到该漏洞影响。恶意攻击者可以通过提供TopicConnectionFactoryBindingName 配置,从而以与CVE-2021-4104类似的方式,利用JMSSink执行JNDI请求,在目标服务器执行任意代码。在JMSink的默认配置下不存在该漏洞。
漏洞等级:严重
2. CVE-2022-23305 Apache log4j JDBCAppender SQL注入漏洞
该漏洞是由于JDBCAppender未能正确过滤用户输入的数据,恶意攻击者可以通过向受影响应用发送特制的恶意请求,从而能够在目标服务器执行任意SQL命令。JDBCAppender的默认配置下不存在该漏洞。
漏洞等级:高危
3、CVE-2022-23307 Apache log4j Chainsaw反序列化代码执行漏洞
Chainsaw v2是一个基于GUI的日志查看器,可以读取Log4j的XMLLayout格式的日志文件。该漏洞是由于Log4j 1.2.x中的Chainsaw未能正确处理序列化数据,恶意攻击者可以通过向受影响应用发送特制数据从而在目标服务器上执行任意代码。Log4j默认配置下未启用Chainsaw。
漏洞等级:高危
影响范围
Apache Log4j 1.x
Apache Chainsaw < 2.1.0
处置方法
官方补丁
官方已于2015 年停止对Log4j 1.x版本进行维护,请相关用户升级到 Log4j2以获得安全修复,官方链接:https://logging.apache.org/log4j/2.x/download.html 或https://github.com/apache/logging-log4j2/tags
临时缓解措施
若暂时无法升级,可在业务允许条件下,采取设置白名单限制web端口访问的方法降低风险。对于特定漏洞,可采取以下措施:
1. CVE-2022-23307 升级到Apache Log4j2 和Apache Chainsaw 2.1.0及以上版本。
2. CVE-2022-23302 升级到Apache Log4j2 或从配置中删除JMSSink。
CVE-2022-23305 升级到Apache Log4j2
参考链接
https://www.mail-archive.com/[email protected]/msg07040.html
https://www.mail-archive.com/[email protected]/msg07041.html
https://www.mail-archive.com/[email protected]/msg07042.html
产品与解决方案
