-
漏洞影響范圍
Apache Log4j2遠程代碼執行漏洞CVE-2021-4104:Apache Log4j 1.2
Apache Log4j2遠程代碼執行漏洞CVE-2021-44228:Apache Log4j 2.0-beta9 - 2.12.1 、Apache Log4j 2.13.0 -
2.15.0-rc1
Apache Log4j2 拒絕服務攻擊漏洞CVE-2021-45046:Apache Log4j 2.0-beta9 - 2.12.1、Apache Log4j 2.13.0-2.15.0
Apache Log4j2 拒絕服務漏洞CVE-2021-45105:Apache Log4j 2.0-beta9 - 2.16.0
-
Log4j1.2 受影響
遠程代碼執行漏洞CVE-2021-4104
修復方法如下(優先采用緩解措施):
ApacheLog4j 1.2中存在RCE漏洞(CVE-2021-4104,僅配置為使用JMSAppender時存在,非默認),建議相關用戶升級到Log4j 2的最新版本,
緩解措施:
注釋或洗掉 Log4j 配置中的 JMSAppender,
使用此命令從log4j jar包中洗掉 JMSAppender 類檔案:
zip -q -d log4j-*.jar org/apache/log4j/net/JMSAppender.class
參考鏈接:
http://mail-archives.apache.org/mod_mbox/www-announce/202112.mbox/%3C1a5a0193-71c4-0613-ca92-f50f801543d9@apache.org%3E
-
Log4j2.x 受影響
拒絕服務漏洞CVE-2021-45046
修復方法如下(優先采用緩解措施):
Java8或更高版本應升級到 Apache Log4j 2.16.0 版本,
使用Java 7 的用戶應升級到Apache Log4j 2.12.2版本,
洗掉 JndiLookup 類:
zip-q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
參考鏈接:
http://mail-archives.apache.org/mod_mbox/www-announce/202112.mbox/%3C13e07d4e-ceb6-e510-be98-7d2ee8fa0a85@apache.org%3E
下載鏈接:
https://logging.apache.org/log4j/2.x/download.html
注:只有log4j-core JAR檔案受CVE-2021-44228和CVE-2021-45046漏洞的影響,只使用log4j-api JAR檔案而不使用log4j-core JAR檔案的應用程式不會受到影響
遠程代碼執行漏洞CVE-2021-44228
修復方法如下(優先采用緩解措施):
受影響用戶應升級到Apache Log4j 2.15.0-rc2及以上版本,建議升級到 2.16.0 版本(Java 8或更高版本),
使用Java 7的用戶應升級到Apache Log4j 2.12.2版本,
洗掉 JndiLookup 類:
zip -q -dlog4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
參考鏈接:
Log4j – Apache Log4j 2
拒絕服務漏洞CVE-2021-45105
Log4j 1.x:不受 CVE-2021-45105 漏洞影響,
Log4j 2.x:Java 8 或更高版本用戶建議升級到 2.17.0 版,
緩解措施:
1、在日志配置的 PatternLayout 中,用執行緒背景關系映射模式(%X,%mdc 或%mdc)
替換背景關系查找,如${ctx:loginId}或$${ctx:loginId},
2、否則,在配置中,洗掉對背景關系查找的參考,如 ${ctx:loginId} 或 $${ctx:
loginId},它們源自應用程式外部的源,如 HTTP 頭或用戶輸入,
下載鏈接:
https://logging.apache.org/log4j/2.x/download.html
注 : 只 有 log4j-core JAR 檔案受 CVE-2021-44228 、 CVE-2021-45046 和
CVE-2021-45105 漏洞的影響,只使用 log4j-api JAR 檔案而不使用 log4j-core JAR 檔案的應用程式不會受到影響,
通用臨時方案(CVE-2021-44228)
- 建議JDK使用6u211、7u201、8u191、11.0.1及以上的版本;
- 對于>=2.10版本:
- 添加jvm啟動引數:-Dlog4j2.formatMsgNoLookups=true;在log4j2.component.properties組態檔中增加如下內容:log4j2.formatMsgNoLookups=true;系統環境變數中將LOG4J_FORMAT_MSG_NO_LOOKUPS設定為true;
- 對于2.7-2.14.1版本:
- 可以修改所有PatternLayout模式,將訊息轉換器指定為%m{nolookups},而不僅僅是%m,
- 對于2.0-beta9-2.7版本:
- 唯一的緩解措施是洗掉jndiookup類:
zip -q -dlog4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- 禁止安裝log4j的服務器訪問外網,并在邊界對dnslog相關域名訪問進行檢測,
- log4j本地檢測使用方法
檢測結果出現log4j 1.2、log4j 2.x表示受漏洞影響,具體受影響漏洞型別及修復參考第一、二、三章節,
- windows系統
建議將程式放到磁盤根目錄下面,通過cmd控制臺執行,若檔案較多,時間較長,請耐心等待,
- linux系統
需將程式放到磁盤 / 根目錄下面后,將程式設定為執行權限;
chmod +x log4j_vul_check_linux
附:排查的小工具分享
log4j漏洞排查小工具-網路安全檔案類資源-CSDN下載
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/387789.html
標籤:其他
上一篇:寒假學習計劃
下一篇:漏洞挖掘技巧-開源程式漏洞挖掘