GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Apache Log4j2回绝服务缝隙（CVE-2021-45046）

颁布功夫 2021-12-16

0x00 缝隙概述

CVE ID	CVE-2021-45046	时间	2021-12-14
类型	Dos	等级	中危
远程利用	是	影响领域
攻击复杂度	高	可用性	低
用户交互	无	所需权限	无
PoC/EXP		在野利用

0x01 缝隙详情

Apache Log4j2是一个开源的Java日志框架，被宽泛地利用在中央件、开发框架与Web利用中。

部门功夫线

11月24日：阿里云安全团队向Apache官方汇报了Apache Log4j2远程代码执行缝隙CVE-2021-44228；

12月7日：Apache Log4j2官方颁布log4j2-2.15.0-rc1并第一次建复CVE-2021-44228缝隙；

12月9日：GA黄金甲安全应急响应中心监测到Apache Log4j2 远程代码执行缝隙CVE-2021-44228（CVSS评分10.0），各产品线发展应急响应措置。

12月14日：GA黄金甲安全应急响应中心监测到Apache Log4j 1.2远程代码执行缝隙CVE-2021-4104（CVSS评分6.6）。

12月15日：GA黄金甲安全应急响应中心监测到Apache Log4j2回绝服务缝隙CVE-2021-45046（CVSS评分3.7）。

Apache Log4j2官方建复规划

12月7日：Apache Log4j2官方颁布log4j2-2.15.0-rc1并第一次建复CVE-2021-44228；

12月10日：log4j2-2.15.0-rc1存在Bypass，Apache Log4j2官方颁布log4j2-2.15.0-rc2建复bypass缝隙。

12月11日：Apache Log4j2官方颁布了2.15.0 版本，以建复CVE-2021-44228。固然 2.15.0 版本解决了Message Lookups职能和JNDI 接见方式的问题，但 Log4j团队以为默认启用 JNDI 存在安全风险，且2.15.0版本存在CVE-2021-45046缝隙。

12月13日：Apache Log4j2官方颁布了Log4j 2.16.0版本（Java 8或更高版本），该版本删除了Message Lookups职能并默认禁用JNDI职能，并从该版本起头默认禁用JNDI职能，但能够通过将log4j2.enableJndi设置为 true 以启用 JNDI。此表，Log4j此刻将和谈默认限度为仅java、ldap和ldaps，并将ldap和谈限度为只能接见Java原始对象。本地主机以表的主机必要被明确允许。

12月15日：Apache Log4j2官方颁布了Apache Log4j 2.12.2版本，该版本建复了CVE-2021-44228和CVE-2021-45046，合用于仍在使用Java 7的用户。

供给链影响

凭据非权威统计，直接和间接引用Log4j的开源组件预计超过17万个。目前已知的受影响的利用和组件蕴含：Apache Solr、Apache Struts2、Apache Flink、Apache Druid、Apache Log4j SLF4J Binding、spring-boot-strater-log4j2、Hadoop Hive、ElasticSearch、Jedis、Logging、Logstash以及VMware多个产品等。

由于该缝隙的影响领域是全球性的，国表各大驰名企业和组织的产品均受影响，如Amazon、Apache、Atlassian、Cisco、Debian、Docker、Fortinet、Google、IBM、英特尔、Juniper Networ、微软、Oracle、Red Hat、Ubuntu和VMware等。

CVE-2021-44228缝隙的利用难度低，默认配置即可远程利用，且PoC/EXP已在互联网上公开，现已被网络犯罪团伙宽泛利用。

缝隙影响领域

CVE-2021-4104：Apache Log4j 1.2

CVE-2021-44228：Apache Log4j 2.0-beta9 - 2.12.1 、Apache Log4j 2.13.0 - 2.15.0-rc1

CVE-2021-45046：Apache Log4j 2.0-beta9 - 2.12.1、Apache Log4j 2.13.0-2.15.0

0x02 措置建议

1.通用建复规划

已升级到 Log4j 2.15.0 版本的用户建议升级到 Log4j 2.16.0 以预防针对CVE-2021-44228 和 CVE-2021-45046缝隙的攻击 。

CVE-2021-4104：

Apache Log4j 1.2中存在RCE缝隙（CVE-2021-4104，仅配置为使用JMSAppender时存在，非默认），建议有关用户升级到Log4j 2的最新版本。

缓解措施：

l 注解或删除 Log4j 配置中的 JMSAppender。

l 使用此号令从log4j jar包中删除 JMSAppender 类文件：

l zip -q -d log4j-*.jar org/apache/log4j/net/JMSAppender.class

参考链接：

http://mail-archives.apache.org/mod_mbox/www-announce/202112.mbox/%3C1a5a0193-71c4-0613-ca92-f50f801543d9@apache.org%3E

CVE-2021-44228：

Log4j 1.x：不受CVE-2021-44228缝隙影响。

Log4j 2.x：

l 受影响用户应升级到Apache Log4j 2.15.0-rc2及以上版本，建议升级到 2.16.0 版本（Java 8或更高版本）。

l 使用Java 7的用户应升级到Apache Log4j 2.12.2版本。

l 删除 JndiLookup 类：zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

参考链接：

https://logging.apache.org/log4j/2.x/index.html

CVE-2021-45046：

Log4j 1.x：不受CVE-2021-45046缝隙影响。

Log4j 2.x：

l Java 8或更高版本应升级到 Apache Log4j 2.16.0 版本。

l 使用Java 7 的用户应升级到Apache Log4j 2.12.2版本。

l 删除 JndiLookup 类： zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

参考链接：

http://mail-archives.apache.org/mod_mbox/www-announce/202112.mbox/%3C13e07d4e-ceb6-e510-be98-7d2ee8fa0a85@apache.org%3E

下载链接：

https://logging.apache.org/log4j/2.x/download.html

注：只有log4j-core JAR文件受CVE-2021-44228和CVE-2021-45046缝隙的影响。只使用log4j-api JAR文件而不使用log4j-core JAR文件的利用法式不会受到影响。

2.通用一时规划（CVE-2021-44228）

l 建议JDK使用6u211、7u201、8u191、11.0.1及以上的版本；

l 对于>=2.10版本：

增长jvm启动参数:-Dlog4j2.formatMsgNoLookups=true；

在log4j2.component.properties配置文件中增长如下内容：log4j2.formatMsgNoLookups=true；

系统环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS设置为true；

l 对于2.7-2.14.1版本：

能够批改所有PatternLayout模式，将新闻转换器指定为%m{nolookups}，而不仅仅是%m。

l 对于2.0-beta9-2.7版本：

唯一的缓解措施是删除jndiookup类：zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

l 不容装置log4j的服务器接见表网，并在天堑对dnslog有关域名接见进行检测。

0x03 参考链接

https://github.com/apache/logging-log4j2

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

https://mp.weixin.qq.com/s/J5H9aZVhwQaVn3LvKi2Kqw

https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44228

https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

0x04 更新版本

版本	日期	批改内容
V1.0	2021-12-9	初次颁布
V2.0	2021-12-10	批改细节
V3.0	2021-12-10	批改bug
V4.0	2021-12-12	新增CVE－ID及部门内容、批改缓解措施。
V5.0	2021-12-14	批改措置建议
V6.0	2021-12-16	批改细节

0x05 关于GA黄金甲

GA黄金甲简介

GA黄金甲公司成立于1996年，并于2010年6月23日在深交所中幼板正式挂牌上市，是国内极具实力的、占有齐全自主知识产权的网络安全产品、可信安全治理平台、安全服务与解决规划的综合提供商。

公司总部位于北京市中关村软件园，在全国各省、视注自治区设有分支机构，占有覆盖全国的渠路系统和技术支持中心，并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。

多年来，GA黄金甲致力于提供拥有国际竞争力的自主创新的安全产品和最佳实际服务，援手客户全面提升其IT基础设施的安全性和出产效力，为打造和提升国际化的民族信息安全产业领军品牌而不懈致力。

关于GA黄金甲

GA黄金甲安全应急响应中心重要针对沉要安全缝隙的预警、跟踪和分享全球最新的威胁谍报和安全汇报。

关注以下公家号，获取全球最新安全资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】