連曝三大漏洞,你的Apache Log4j還好嗎

出品 | OSC開源社群(ID:oschina2013)

繼 CVE-2021-44228 和 CVE-2021-45046 之後發現的第三個 Log4Shell 漏洞。

距離 Apache Log4j “核彈級”漏洞的公開已過去將近一週,在此期間被記錄的漏洞總共有兩個,分別是 CVE-2021-44228 和 CVE-2021-45046。針對漏洞的補丁版本也早已釋出:
  • Apache Log4j 2.16.0 已釋出
  • Apache Log4j 2.15.0 釋出,安全漏洞已得到解決
不過安全公司 Praetorian 的研究人員昨日表示,2.15.0 存在一個更嚴重的漏洞——資訊洩露漏洞,可用於從受影響的伺服器下載資料。
與此同時,Praetorian 已將該漏洞的所有技術細節傳送給 Apache 軟體基金會,他們尚未透露更多細節。Praetorian 強烈建議使用者儘快升級到 2.16.0,但尚不清楚此錯誤是否已在 2.16.0 版本中解決。
Praetorian 研究人員也無法確定資料洩露漏洞的在野利用。他們沒有提供有關該漏洞的其他詳細資訊,這是因為不希望駭客輕易利用漏洞。
研究人員提供了新漏洞的概念驗證:https://www.youtube.com/watch?v=bxDEJDqANig

Log4shell 漏洞背景說明

Apache Log4j2 是一個基於 Java 的日誌記錄工具。該工具重寫了 Log4j 框架,並且引入了大量豐富的特性,被大量用於業務系統開發,用來記錄日誌資訊。
CVE-2021-44228 遠端控制漏洞(RCE)影響從 2.0-beta9 到 2.14.1 的  Log4j  版本。受影響的 Log4j 版本包含 Java 命名和目錄介面  (JNDI) 功能,可以執行如訊息查詢替換等操作,攻擊者可以透過向易受攻擊的系統提交特製的請求,從而完全控制系統,遠端執行任意程式碼,然後進行竊取資訊、啟動勒索軟體或其他惡意活動。
Apache Log4j2 安全補丁更新過程
  • 2021 年 12 月 11 日:釋出2.15.0版本,對JNDI 查詢功能進行限制。但此版本的修復不完整,導致了第二個 Log4j 漏洞漏洞:CVE-2021-45046
  • 2021-12-13釋出2.16.0版本,為了解決 CVE-2021-45046 漏洞, Log4j 2.16.0 直接禁用了 JDNI 功能。

官方通告

  • CVE-2021-44228(Log4j2 初始漏洞)
Apache Log4j 2 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0 版本的 JNDI 功能在配置、日誌訊息和引數中使用,無法防止攻擊者控制的 LDAP 和其他 JNDI 相關端點。當啟用訊息查詢替換時,控制日誌訊息或日誌訊息引數的攻擊者可以執行從 LDAP 伺服器載入的任意程式碼。從 log4j 2.15.0 開始,預設情況下已禁用此行為。從版本 2.16.0 開始,此功能已完全刪除。請注意,此漏洞特定於 log4j-core,不會影響 log4net、log4cxx 或其他 Apache 日誌服務專案。
  • CVE-2021-45046(Log4j 2.15.0 未完整修復的漏洞)
Apache Log4j 2.15.0 中針對 CVE-2021-44228 的修復在某些非預設配置中不完整。當日志配置使用非預設模式佈局和上下文查詢(例如,$${ctx:loginId})或執行緒上下文對映模式( %X、%mdc 或 %MDC)使用 JNDI 查詢模式製作惡意輸入資料,從而導致拒絕服務 (DOS) 攻擊。預設情況下,Log4j 2.15.0 盡最大努力將 JNDI LDAP 查詢限制為 localhost。Log4j 2.16.0 透過刪除對訊息查詢模式的支援和預設禁用 JNDI 功能來修復此問題。
  • CVE-2021-4104(Log4j 1.2 版本問題)
當攻擊者對 Log4j 配置具有寫訪問許可權時,Log4j 1.2 中的 JMSAppender 容易受到不可信資料的反序列化。攻擊者可以提供 TopicBindingName 和 TopicConnectionFactoryBindingName 配置,導致 JMSAppender 以類似於 CVE-2021-44228 的方式執行 JNDI 請求,從而導致遠端程式碼執行。
注意, JMSAppender 不是 Log4j 的預設配置,因此此漏洞僅在特別配置為 JMSAppender 時才會影響 Log4j 1.2。事實上 Apache Log4j 1.2 已於 2015 年 8 月終止生命週期。使用者應該升級到Log4j 2,因為它解決了以前版本的許多其他問題。

各組織/開源專案對 Log4Shell 漏洞的響應彙總

已修復/更新:
  • Metabase:v0.41.4 釋出,解決 log4j2 漏洞問題
  • openEuler:尤拉開源社群 Log4j 高危安全漏洞修復完成
  • KubeSphere:Apache Log4j 2 遠端程式碼執行最新漏洞的修復方案
  • MateCloud:4.2.8 正式版釋出,修復 Log4j2 的安全漏洞
  • openLooKeng開源社群:Apache Log4j2 高危安全漏洞修復完成
  • JPress部落格系統:釋出新版,修復 Log4j 漏洞問題
  • Netty:4.1.72.Final 釋出,更新 Log4j2 版本
  • Apache NiFi:1.5.1 緊急釋出,修復 log4j2 相關問題
  • Jedis:3.7.1、4.0.0-rc2 釋出,修復 Log4j 安全問題
  • Eurynome Cloud:v2.6.2.10 釋出,修復 Apache Log4j2 安全問題
  • Jedis:3.7.1、4.0.0-rc2 釋出,修復 Log4j 安全問題
  • Apache Solr:釋出漏洞影響情況和緩解措施
  • Minecraft :釋出漏洞宣告和緩解方案
  • Apache Flink:關於 Apache Log4j 零日 (CVE-2021-44228) 的建議
  • Apache Druid:建議所有使用者升級到 Druid 0.22.1
  • OpenSearch:重要提示:更新到 OpenSearch 1.2.1
  • OpenNMS:受 Apache Log4j 漏洞影響的 OpenNMS 產品
  • IBM Cúram:可能會影響 Cúram Social Program
  • IBM WebSphere:受影響,已更新
不受影響:
  • Anolis OS:不受 Log4j 高危安全漏洞影響
  • SUSE:產品均不受影響
  • Apache Spark:不受影響
  • Curl / Libcurl:不受影響
  • Zabbix:不受影響
  • DBeaver:Log4j2 漏洞對我們的使用者不危險
  • VideoLAN:核心已移植到 Kotlin ,不用 Log4j
  • Cloudflare:Cloudflare 如何安全應對 Log4j 2 漏洞
  • LastPass:不受影響
  • HackerOne:不受影響,能利用漏洞影響 H1 的人可獲得 25000 美金獎勵
影響待定
  • 華為:啟動了調查分析,相關排查還在持續進行
  • 微軟:除了明確涉及 Minecraft,其他的情況仍在調查
  • JetBrains:YouTrack Standalone、Hub、Upsource 和 Floating 許可證伺服器受影響但已修復,其餘仍在測試
釋出漏洞相關工具
  • 360CERT:釋出Log4j2惡意荷載批次檢測調查工具
  • 騰訊容器安全:釋出開源 Log4j2 漏洞緩解工具
此列表將持續更新,俺一個人能力有限,歡迎大家在評論區分享你所瞭解的公司/組織/開源專案對 Log4shell 漏洞的迴應,格式為公司/組織/專案名稱 | 迴應類別(已更新/修復/不受影響等)| 迴應連結此漏洞影響面太廣,希望大家一起合作,避免更多組織或個人因此受到損失。
延伸閱讀:
END
如何評價一個開源專案的好壞?

覺得不錯,請點個在看

閱讀原文