Apache Log4j多个漏洞风险提示:
【漏洞公告】
近日,Apache官方发布了Log4j的多个漏洞通告,分别为Apache log4j JMSSink反序列化代码执行漏洞(CVE-2022-23302),Apache log4j JDBCAppender SQL注入漏洞(CVE-2022-23305),Apache log4j Chainsaw反序列化代码执行漏洞(CVE-2022-23307)。
参考链接:
https://www.mail-archive.com/announce@apache.org/msg07040.html
https://www.mail-archive.com/announce@apache.org/msg07041.html
https://www.mail-archive.com/announce@apache.org/msg07042.html
【影响范围】
漏洞影响版本:
Apache Log4j 1.x
Apache Chainsaw < 2.1.0
不受影响版本:
Apache Log4j 2.x
【漏洞描述】
CVE-2022-23302:Apache Log4j JMSSink反序列化代码执行漏洞,根据官方描述,当攻击者对 Log4j 配置具有写访问权限时,不受信任的数据或如果配置引用了攻击者有权访问的LDAP 服务。攻击者可以提供一个TopicConnectionFactoryBindingName 配置,导致JMSSink 执行JNDI 请求,这与CVE-2021-4104 远程执行代码的方式类似。
请注意,此问题仅在专门配置为使用JMSSink时影响 Log4j 1.x ,Log4j默认配置时不受此漏洞影响。
CVE-2022-23305:Apache Log4j JDBCAppender SQL注入漏洞,根据官方描述,Log4j 1.2.x 中的 JDBCAppender接受SQL语句作为要插入的值是转换器的配置参数,PatternLayout消息转换器未对输入的值进行过滤,允许攻击者通过在输入中输入精心制作的字符串来操纵 SQL,实现非法查询。
请注意,此问题仅在专门配置为使用JDBCAppender时会影响Log4j 1.x,Log4j默认配置时不受此漏洞影响。
CVE-2022-23307,Chainsaw v2是由Log4j开发社区成员编写的与Log4j配套的应用程序,是一个基于GUI的日志查看器,该漏洞由于Apache Log4j 1.2.x中的Chainsaw存在反序列化代码执行漏洞,可能造成任意代码执行。
请注意,Log4j默认情况下未配置Chainsaw的使用,因此默认配置下不受此漏洞影响。
【缓解措施】
高危:目前漏洞POC暂未公开,由于官方已停止对Log4j 1.x版本进行维护,建议部署相关产品的用户升级到 Log4j 2安全版本以获得安全修复,参考链接:https://logging.apache.org/log4j/2.x/manual/migration.html。
