漏洞名称 : Apache Log4j 代码执行漏洞
组件名称 : Apache Log4j
影响范围:Apache Log4j 1.x
漏洞类型:代码执行
利用条件:
1、用户认证:不需要用户认证
2、前置条件:需要配置 JMSAppender
3、触发方式:需要控制 Apache Log4j 配置文件
综合评价:
<综合评定利用难度>:困难,配置文件被控制后可造成代码执行。
<综合评定威胁等级>:未知,能造成代码执行。
漏洞分析
1 组件介绍
Apache Log4j 是 Apache 的一个开源项目,通过使用 Apache Log4j,可以控制日志信息输送至控制台、文件、GUI 组件,甚至是套接口服务器、NT 的事件记录器、UNIX Syslog 守护进程等;也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
2 漏洞描述
2021年12月15日,深信服安全团队监测到一则 Apache Log4j 组件存在代码执行漏洞的信息,漏洞编号:CVE-2021-4104,漏洞威胁等级:未知。
配置文件被攻击者控制后,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行任意代码,最终控制服务器。
此漏洞与 Apache Log4j2 远程代码执行漏洞 CVE-2021-44228 的原理不同,且影响范围不同。
影响范围
Apache Log4j 广泛地应用在中间件、开发框架、Web 应用中。漏洞涉及用户量较大。
目前受影响的 Apache Log4j 版本:
Apache Log4j 1.x(目前 Apache Log4j 1.x 版本已经不维护)
解决方案
1 如何检测组件版本
方案一
全盘搜索 log4j,如果存在 log4j-{version}.jar
则用户可能受漏洞影响。
方案二
如果项目是由 maven 编译的(一般在项目根目录下会有 pom.xml)
打开pom.xml文件,如图:
在此文件中搜索log4j,如果可以搜索到关键字,则可能受到漏洞的影响。(图中搜索到log4j依赖包)
如以上检索均未发现结果,不能够完全下结论一定没有使用 Apache Log4j 组件。Apache Log4j 组件通常会嵌套在中间件中使用,需要联系业务系统的开发或维护厂商进行判断是否有使用 Apache Log4j 组件。
2 官方修复建议
当前官方已不再维护 Apache Log4j 1.x ,建议受影响的用户及时更新至Apache Log4j2最新版本。链接如下:
https://github.com/apache/logging-log4j2/tags
3 临时修复建议
该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:
检测Log4j配置文件,如果存在类似
log4j.appender.jms=org.apache.log4j.net.JMSAppender
的JMSAppender配置,建议在业务功能允许的条件下删除此配置。
参考链接
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104
时间轴
2021/12/15 深信服监测到 Apache Log4j 漏洞信息。
2021/12/16 深信服千里目安全实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
自 Apache Log4j2 漏洞爆发以来,深信服已实时更新讯息,可点击下方链接了解详情:
请注意Apache Log4j2远程代码执行漏洞影响面广泛,深信服已有防护规则
针对Apache Log4j2远程代码执行漏洞 深信服发布应急处置指南(内附自查手册)
深信服EDR成功拦截利用Apache Log4j2漏洞Tellyouthepass 勒索,警惕攻击OA系统
发现针对某OA的Log4shell漏洞利用的新型挖矿病毒WhiteLotusMiner
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Apache Log4j 代码执行漏洞 CVE-2021-4104
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论