严重 Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)

CVE编号

CVE-2017-5645

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2017-04-18
该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。
漏洞描述
Apache Log4j是当前在J2EE和J2SE开发中用得最多的日志框架。

Apache Log4j 2.8.2之前的2.x版本存在远程代码执行漏洞。允许攻击者利用漏洞在受影响的应用程序的上下文中执行任意代码。
解决建议
建议用户升级该软件至最新版本。
参考链接
http://www.openwall.com/lists/oss-security/2019/12/19/2
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
http://www.securityfocus.com/bid/97702
http://www.securitytracker.com/id/1040200
http://www.securitytracker.com/id/1041294
https://access.redhat.com/errata/RHSA-2017:1417
https://access.redhat.com/errata/RHSA-2017:1801
https://access.redhat.com/errata/RHSA-2017:1802
https://access.redhat.com/errata/RHSA-2017:2423
https://access.redhat.com/errata/RHSA-2017:2633
https://access.redhat.com/errata/RHSA-2017:2635
https://access.redhat.com/errata/RHSA-2017:2636
https://access.redhat.com/errata/RHSA-2017:2637
https://access.redhat.com/errata/RHSA-2017:2638
https://access.redhat.com/errata/RHSA-2017:2808
https://access.redhat.com/errata/RHSA-2017:2809
https://access.redhat.com/errata/RHSA-2017:2810
https://access.redhat.com/errata/RHSA-2017:2811
https://access.redhat.com/errata/RHSA-2017:2888
https://access.redhat.com/errata/RHSA-2017:2889
https://access.redhat.com/errata/RHSA-2017:3244
https://access.redhat.com/errata/RHSA-2017:3399
https://access.redhat.com/errata/RHSA-2017:3400
https://access.redhat.com/errata/RHSA-2019:1545
https://issues.apache.org/jira/browse/LOG4J2-1863
https://lists.apache.org/thread.html/0dcca05274d20ef2d72584edcf8c917bbb13dbbd...
https://lists.apache.org/thread.html/277b4b5c2b0e06a825ccec565fa65bd671f35a4d...
https://lists.apache.org/thread.html/44491fb9cc19acc901f7cff34acb7376619f1563...
https://lists.apache.org/thread.html/479471e6debd608c837b9815b76eab24676657d4...
https://lists.apache.org/thread.html/6114ce566200d76e3cc45c521a62c2c5a4eac157...
https://lists.apache.org/thread.html/84cc4266238e057b95eb95dfd8b29d46a2592e76...
https://lists.apache.org/thread.html/8ab32b4c9f1826f20add7c40be08909de9f58a89...
https://lists.apache.org/thread.html/9317fd092b257a0815434b116a8af8daea6e920b...
https://lists.apache.org/thread.html/e8fb7d76a244ee997ba4b217d6171227f7c2521a...
https://lists.apache.org/thread.html/eea03d504b36e8f870e8321d908e1def1addda16...
https://lists.apache.org/thread.html/r0831e2e52a390758ce39a6193f82c11c295175a...
https://lists.apache.org/thread.html/r18f1c010b554a3a2d761e8ffffd8674fd4747bc...
https://lists.apache.org/thread.html/r1b103833cb5bc8466e24ff0ecc5e75b45a70533...
https://lists.apache.org/thread.html/r23369fd603eb6d62d3b883a0a28d12052dcbd1d...
https://lists.apache.org/thread.html/r2ce8d26154bea939536e6cf27ed02d3192bf5c5...
https://lists.apache.org/thread.html/r2ff63f210842a3c5e42f03a35d8f3a345134d07...
https://lists.apache.org/thread.html/r3784834e80df2f284577a5596340fb84346c91a...
https://lists.apache.org/thread.html/r3a85514a518f3080ab1fc2652cfe122c2ccf67c...
https://lists.apache.org/thread.html/r3d666e4e8905157f3c046d31398b04f2bfd4519...
https://lists.apache.org/thread.html/r4b25538be50126194cc646836c718b1a4d8f71b...
https://lists.apache.org/thread.html/r61590890edcc64140e0c606954b29a063c3d08a...
https://lists.apache.org/thread.html/r681b4432d0605f327b68b9f8a42662993e699d0...
https://lists.apache.org/thread.html/r746fbc3fc13aee292ae6851f7a5080f592fa3a6...
https://lists.apache.org/thread.html/r7bcdc710857725c311b856c0b82cee6207178af...
https://lists.apache.org/thread.html/r94b5aae09c4bcff5d06cf641be17b00bd83ba7e...
https://lists.apache.org/thread.html/r9d5c1b558a15d374bd5abd2d3ae3ca7e50e796a...
https://lists.apache.org/thread.html/ra38785cfc0e7f17f8e24bebf775dd032c033fad...
https://lists.apache.org/thread.html/ra9a682bc0a8dff1c5cefdef31c7c25f096d9121...
https://lists.apache.org/thread.html/raedd12dc24412b3780432bf202a2618a21a7277...
https://lists.apache.org/thread.html/rb1b29aee737e1c37fe1d48528cb0febac4f5dee...
https://lists.apache.org/thread.html/rbfa7a0742be4981a3f9356a23d0e1a5f2e1eabd...
https://lists.apache.org/thread.html/rc1eaed7f7d774d5d02f66e49baced31e04827a1...
https://lists.apache.org/thread.html/rca24a281000fb681d7e26e5c031a21eb4b0593a...
https://lists.apache.org/thread.html/rcbb79023a7c8494cb389cd3d95420fa9e0d531e...
https://lists.apache.org/thread.html/rd5dbeee4808c0f2b9b51479b50de3cc6adb1072...
https://lists.apache.org/thread.html/rdbd579dc223f06af826d7de340218ee2f80d8b4...
https://lists.apache.org/thread.html/rdec0d8ac1f03e6905b0de2df1d5fcdb98b94556...
https://lists.apache.org/thread.html/re8c21ed9dd218c217d242ffa90778428e446b08...
https://lists.apache.org/thread.html/rf1bbc0ea4a9f014cf94df9a12a6477d24a27f52...
https://lists.apache.org/thread.html/rf2567488cfc9212b42e34c6393cfa1c14e30e48...
https://security.netapp.com/advisory/ntap-20180726-0002/
https://security.netapp.com/advisory/ntap-20181107-0002/
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpuoct2021.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache log4j 2.0 -
运行在以下环境
应用 apache log4j 2.0.1 -
运行在以下环境
应用 apache log4j 2.0.2 -
运行在以下环境
应用 apache log4j 2.1 -
运行在以下环境
应用 apache log4j 2.2 -
运行在以下环境
应用 apache log4j 2.3 -
运行在以下环境
应用 apache log4j 2.4 -
运行在以下环境
应用 apache log4j 2.4.1 -
运行在以下环境
应用 apache log4j 2.5 -
运行在以下环境
应用 apache log4j 2.6 -
运行在以下环境
应用 apache log4j 2.6.1 -
运行在以下环境
应用 apache log4j 2.6.2 -
运行在以下环境
应用 apache log4j 2.7 -
运行在以下环境
应用 apache log4j 2.8 -
运行在以下环境
应用 apache log4j 2.8.1 -
运行在以下环境
应用 netapp oncommand_api_services - -
运行在以下环境
应用 netapp oncommand_insight - -
运行在以下环境
应用 netapp oncommand_workflow_automation - -
运行在以下环境
应用 netapp service_level_manager - -
运行在以下环境
应用 netapp snapcenter - -
运行在以下环境
应用 netapp storage_automation_store - -
运行在以下环境
应用 oracle api_gateway 11.1.2.4.0 -
运行在以下环境
应用 oracle autovue_vuelink_integration 21.0.0 -
运行在以下环境
应用 oracle autovue_vuelink_integration 21.0.1 -
运行在以下环境
应用 oracle banking_platform 2.6.0 -
运行在以下环境
应用 oracle banking_platform 2.6.1 -
运行在以下环境
应用 oracle banking_platform 2.6.2 -
运行在以下环境
应用 oracle bi_publisher 11.1.1.7.0 -
运行在以下环境
应用 oracle bi_publisher 11.1.1.9.0 -
运行在以下环境
应用 oracle bi_publisher 12.2.1.3.0 -
运行在以下环境
应用 oracle bi_publisher 12.2.1.4.0 -
运行在以下环境
应用 oracle communications_converged_application_server_-_service_controller 6.1 -
运行在以下环境
应用 oracle communications_messaging_server * Up to
(excluding)
8.0.2
运行在以下环境
应用 oracle communications_online_mediation_controller 6.1 -
运行在以下环境
应用 oracle communications_pricing_design_center 11.1 -
运行在以下环境
应用 oracle communications_pricing_design_center 12.0 -
运行在以下环境
应用 oracle communications_service_broker 6.0 -
运行在以下环境
应用 oracle communications_webrtc_session_controller * Up to
(excluding)
7.2
运行在以下环境
应用 oracle configuration_manager 12.1.2.0.2 -
运行在以下环境
应用 oracle configuration_manager 12.1.2.0.5 -
运行在以下环境
应用 oracle enterprise_data_quality 12.2.1.3.0 -
运行在以下环境
应用 oracle enterprise_manager_base_platform 12.1.0.5 -
运行在以下环境
应用 oracle enterprise_manager_base_platform 13.2.0.0 -
运行在以下环境
应用 oracle enterprise_manager_for_fusion_middleware 12.1.0.5 -
运行在以下环境
应用 oracle enterprise_manager_for_fusion_middleware 13.2.0.0 -
运行在以下环境
应用 oracle enterprise_manager_for_mysql_database * Up to
(including)
13.2.2.0.0
运行在以下环境
应用 oracle enterprise_manager_for_oracle_database 12.1.0.8 -
运行在以下环境
应用 oracle enterprise_manager_for_oracle_database 13.2.2 -
运行在以下环境
应用 oracle enterprise_manager_for_peoplesoft 13.1.1.1 -
运行在以下环境
应用 oracle enterprise_manager_for_peoplesoft 13.2.1.1 -
运行在以下环境
应用 oracle financial_services_analytical_applications_infrastructure * From
(including)
7.3.3.0.0 		Up to
(including)
7.3.3.0.2
运行在以下环境
应用 oracle financial_services_analytical_applications_infrastructure * From
(including)
8.0.0.0.0 		Up to
(including)
8.0.7.0.0
运行在以下环境
应用 oracle financial_services_behavior_detection_platform * From
(including)
8.0.0.0.0 		Up to
(including)
8.0.4.0.0
运行在以下环境
应用 oracle financial_services_behavior_detection_platform 6.1.1 -
运行在以下环境
应用 oracle financial_services_hedge_management_and_ifrs_valuations 8.0.4 -
运行在以下环境
应用 oracle financial_services_hedge_management_and_ifrs_valuations 8.0.5 -
运行在以下环境
应用 oracle financial_services_loan_loss_forecasting_and_provisioning 8.0.4 -
运行在以下环境
应用 oracle financial_services_loan_loss_forecasting_and_provisioning 8.0.5 -
运行在以下环境
应用 oracle financial_services_profitability_management * From
(including)
8.0.0.0.0 		Up to
(including)
8.0.7.0.0
运行在以下环境
应用 oracle financial_services_profitability_management 6.1.1 -
运行在以下环境
应用 oracle flexcube_investor_servicing 12.0.4 -
运行在以下环境
应用 oracle flexcube_investor_servicing 12.1.0 -
运行在以下环境
应用 oracle flexcube_investor_servicing 12.3.0 -
运行在以下环境
应用 oracle flexcube_investor_servicing 12.4.0 -
运行在以下环境
应用 oracle flexcube_investor_servicing 14.0.0 -
运行在以下环境
应用 oracle fusion_middleware_mapviewer 12.2.1.2 -
运行在以下环境
应用 oracle fusion_middleware_mapviewer 12.2.1.3 -
运行在以下环境
应用 oracle goldengate_application_adapters 12.3.2.1.1 -
运行在以下环境
应用 oracle identity_analytics 11.1.1.5.8 -
运行在以下环境
应用 oracle identity_management_suite 11.1.2.3.0 -
运行在以下环境
应用 oracle identity_management_suite 12.2.1.3.0 -
运行在以下环境
应用 oracle insurance_calculation_engine 10.1.1 -
运行在以下环境
应用 oracle insurance_calculation_engine 10.2.1 -
运行在以下环境
应用 oracle insurance_policy_administration 10.0 -
运行在以下环境
应用 oracle insurance_policy_administration 10.1 -
运行在以下环境
应用 oracle insurance_policy_administration 10.2 -
运行在以下环境
应用 oracle insurance_policy_administration 11.0 -
运行在以下环境
应用 oracle insurance_rules_palette 10.0 -
运行在以下环境
应用 oracle insurance_rules_palette 10.1 -
运行在以下环境
应用 oracle insurance_rules_palette 10.2 -
运行在以下环境
应用 oracle insurance_rules_palette 11.0 -
运行在以下环境
应用 oracle insurance_rules_palette 11.1 -
运行在以下环境
应用 oracle jdeveloper 11.1.1.9.0 -
运行在以下环境
应用 oracle jdeveloper 12.1.3.0.0 -
运行在以下环境
应用 oracle jdeveloper 12.2.1.3.0 -
运行在以下环境
应用 oracle jd_edwards_enterpriseone_tools 9.2 -
运行在以下环境
应用 oracle mysql_enterprise_monitor * From
(including)
3.4.0.0 		Up to
(including)
3.4.7.4297
运行在以下环境
应用 oracle mysql_enterprise_monitor * From
(including)
4.0.0.0 		Up to
(including)
4.0.4.5235
运行在以下环境
应用 oracle mysql_enterprise_monitor * From
(including)
8.0.0.0.0 		Up to
(including)
8.0.0.8131
运行在以下环境
应用 oracle peoplesoft_enterprise_fin_install 9.2 -
运行在以下环境
应用 oracle policy_automation 10.4.7 -
运行在以下环境
应用 oracle policy_automation 12.1.0 -
运行在以下环境
应用 oracle policy_automation 12.1.1 -
运行在以下环境
应用 oracle policy_automation 12.2.0 -
运行在以下环境
应用 oracle policy_automation 12.2.1 -
运行在以下环境
应用 oracle policy_automation 12.2.10 -
运行在以下环境
应用 oracle policy_automation 12.2.2 -
运行在以下环境
应用 oracle policy_automation 12.2.3 -
运行在以下环境
应用 oracle policy_automation 12.2.4 -
运行在以下环境
应用 oracle policy_automation 12.2.5 -
运行在以下环境
应用 oracle policy_automation 12.2.6 -
运行在以下环境
应用 oracle policy_automation 12.2.7 -
运行在以下环境
应用 oracle policy_automation 12.2.8 -
运行在以下环境
应用 oracle policy_automation 12.2.9 -
运行在以下环境
应用 oracle policy_automation_connector_for_siebel 10.4.6 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 10.4.7 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.1.0 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.1.1 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.2.0 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.2.1 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.2.10 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.2.2 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.2.3 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.2.4 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.2.5 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.2.6 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.2.7 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.2.8 -
运行在以下环境
应用 oracle policy_automation_for_mobile_devices 12.2.9 -
运行在以下环境
应用 oracle retail_clearance_optimization_engine 14.0.5 -
运行在以下环境
应用 oracle retail_extract_transform_and_load 13.0 -
运行在以下环境
应用 oracle retail_extract_transform_and_load 13.1 -
运行在以下环境
应用 oracle retail_extract_transform_and_load 13.2 -
运行在以下环境
应用 oracle retail_integration_bus 14.0.0 -
运行在以下环境
应用 oracle retail_integration_bus 14.1.0 -
运行在以下环境
应用 oracle retail_integration_bus 15.0 -
运行在以下环境
应用 oracle retail_integration_bus 16.0 -
运行在以下环境
应用 oracle retail_open_commerce_platform 5.3.0 -
运行在以下环境
应用 oracle retail_open_commerce_platform 6.0.0 -
运行在以下环境
应用 oracle retail_open_commerce_platform 6.0.1 -
运行在以下环境
应用 oracle retail_predictive_application_server 15.0.3 -
运行在以下环境
应用 oracle siebel_ui_framework 18.7 -
运行在以下环境
应用 oracle siebel_ui_framework 18.8 -
运行在以下环境
应用 oracle siebel_ui_framework 18.9 -
运行在以下环境
应用 oracle soa_suite 12.1.3.0.0 -
运行在以下环境
应用 oracle soa_suite 12.2.2.0.0 -
运行在以下环境
应用 oracle tape_library_acsls 8.4 -
运行在以下环境
应用 oracle utilities_work_and_asset_management 1.9.1.2.12 -
运行在以下环境
系统 amazon_AMI log4j * Up to
(excluding)
1.2.17-16.12.amzn1
运行在以下环境
系统 debian DPKG * Up to
(excluding)
2.7-2
运行在以下环境
系统 fedora_24 log4j * Up to
(excluding)
1.2.17-19.fc24
运行在以下环境
系统 fedora_25 log4j * Up to
(excluding)
1.2.17-19.fc25
运行在以下环境
系统 fedora_26 log4j * Up to
(excluding)
1.2.17-19.fc26
运行在以下环境
系统 oracle_7 log4j * Up to
(excluding)
1.2.17-16.el7_4
运行在以下环境
系统 redhat_7 log4j * Up to
(excluding)
0:1.2.17-16.el7_4
运行在以下环境
系统 ubuntu_18.04.5_lts apache-log4j2 * Up to
(excluding)
2.10.0-2
运行在以下环境
系统 ubuntu_18.10 apache-log4j2 * Up to
(excluding)
2.10.0-2
阿里云评分
9.4
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    EXP 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    服务器失陷
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-502 可信数据的反序列化
阿里云安全产品覆盖情况