描述:
Apache Software Foundation 發布了一個保安建議,以應對 Apache Log4j 中的一個漏洞。遠端攻擊者可以傳送特製的請求來攻擊這個漏洞。
有報告指 Apache Log4j 中的一個新服務受阻斷漏洞 (CVE-2021-45105) 的概念驗證 (PoC) 程式碼已被公開。雖然該漏洞不是屬於上週發布的高危保安警報 (A21-12-05) 中涵蓋的遠端執行程式碼漏洞 (CVE-2021-44228) 的變種,但由於最近針對 Apache Log4j 的大規模掃描和廣泛攻擊漏洞的活動,系統管理員應立即為受影響的系統/應用程式安裝修補程式。
受影響的系統:
- 基於 Java 的系統或應用程式使用了 Apache Log4j 2.17.0 之前的版本
影響:
成功利用這個漏洞可以導致在受影響的系統服務受阻斷。
建議:
Apache Software Foundation 發行了有關產品的新版本以應對以上問題。用戶可從以下網址下載:
https://logging.apache.org/log4j/2.x/security.html
除了內部和自主開發的系統/應用程式外,商業產品和開源軟件/程式庫也可能受到該漏洞的影響。下面列出了產品供應商的建議,該列表並不包括所有受影響的軟件/程式。系統管理員應向產品供應商查詢正在使用的軟件產品是否受到影響以及相應修補程式或緩解措施的情況。若軟件產品確認受到該漏洞的影響,系統管理員應安裝修補程式或遵從產品供應商的建議以降低風險。
- Cisco
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
- Ubuntu
https://ubuntu.com/security/notices/USN-5203-1
如無法立即安裝修補程式,受影響系統的管理人員應遵從 Apache Software Foundation 的建議,立即採取行動以降低風險:
- 於記錄設定中的 PatternLayout 以 Thread Context Map patterns (%X, %mdc, or %MDC) 替代 Context Lookups 如 ${ctx:loginId} 或 $${ctx:loginId} 。
- 否則,在設定中刪除 Context Lookups 的參照如 ${ctx:loginId} 或 $${ctx:loginId} 而它們是源自外部連接的應用程式例如 HTTP 標頭或用戶輸入。
進一步資訊:
- https://logging.apache.org/log4j/2.x/
- https://www.hkcert.org/tc/security-bulletin/apache-log4j-denial-of-service-vulnerability_20211220
- https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105