高危保安警报 (A21-12-05): Apache Log4j 漏洞

 [2021年 12月 15日更新]

根据 Apache Software Foundation 最新的保安建议，Apache Log4j 2.15.0 版本及之前所建议的缓解措施并未能完全应对远端执行程式码漏洞 (CVE-2021-44228)。Apache 已发布了另一 Log4j 2.16.0 版本以应对漏洞 (CVE-2021-44228) 及新发现的分布式拒绝服务漏洞  (CVE-2021-45046)。

如未能进行更新，请移除 classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class 中的 JndiLookup class 作缓解措施。详情可参阅以下 URL:
https://logging.apache.org/log4j/2.x/security.html

只有使用 log4j-core 组件的应用程式受影响，使用 log4j-api 组件但没有使用og4j-core 组件的应用程式并不受影响。

 [2021年 12月 13日更新]

除了内部和自主开发的系统/应用程式外，商业产品和开源软件/程式库也可能受到该漏洞的影响。下面列出了产品供应商的建议，该列表并不包括所有受影响的软件/程式。系统管理员应向产品供应商查询正在使用的软件产品是否受到影响以及相应修补程式或缓解措施的情况。若软件产品确认受到该漏洞的影响，系统管理员应安装修补程式或遵从产品供应商的建议以降低风险。

Apache Struts
https://struts.apache.org/announce-2021#a20211212-2

Cisco
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd

Fortinet
https://www.fortiguard.com/psirt/FG-IR-21-245

VMware
https://www.vmware.com/security/advisories/VMSA-2021-0028.html

描述:

Apache Software Foundation 发布了一个保安建议，以应对 Apache Log4j 中的一个漏洞。远端攻击者可以向受影响的系统传送特制的请求来攻击这个漏洞。

有报告指漏洞 (CVE-2021-44228) 正受到攻击以及概念验证 (PoC) 程式码已被公开。系统管理员应立即为受影响的系统安装修补程式，以减低受到网络攻击的风险。

受影响的系统:

• 基于 Java 的系统使用了 Apache Log4j 2.15.0-rc2 之前的版本

影响:

成功利用这个漏洞可以导致在受影响的系统上远端执行程式码。

建议:

Apache Software Foundation 发行了有关产品的新版本以应对以上问题。用户可从以下网址下载:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

如无法立即安装修补程式，受影响系统的管理人员应遵从 Apache Software Foundation 的建议，立即采取行动以降低风险：

• 加上 -Dlog4j.formatMsgNoLookups=true 作为命令行选项或
  加上 log4j.formatMsgNoLookups=true 到 classpath 上的 log4j2.component.properties 文件。
• 在 PatternLayout 设定中指定 %m{nolookups}。
• 从 log4j-core jar 中删除 JndiLookup 和 JndiManager 的 classes。删除 JndiManager 将导致 JndiContextSelector 和 JMSAppender 不再起作用。

进一步信息:

• https://logging.apache.org/log4j/2.x/
• https://www.cert.org.cn/publish/main/9/2021/20211210110550958546708/20211210110550958546708_.html
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228