中危 Apache Log4j 1.x JMSAppender配置代码执行漏洞(CVE-2021-4104)

CVE编号

CVE-2021-4104

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2021-12-16
漏洞描述
Log4j 1.x 没有 Lookups,因此风险较低。使用 Log4j 1.x 的应用程序只有在其配置中使用 JNDI 时才容易受到这种攻击。已针对此漏洞提交了单独的 CVE (CVE-2021-4104)。缓解措施:审核您的日志记录配置以确保它没有配置 JMSAppender。没有 JMSAppender 的 Log4j 1.x 配置不受此漏洞的影响。
解决建议
移除JMSAppender配置(默认没有)。
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache log4j 1.2 -
运行在以下环境
应用 redhat codeready_studio 12.0 -
运行在以下环境
应用 redhat integration_camel_k - -
运行在以下环境
应用 redhat integration_camel_quarkus - -
运行在以下环境
应用 redhat jboss_a-mq 6.0.0 -
运行在以下环境
应用 redhat jboss_a-mq 7 -
运行在以下环境
应用 redhat jboss_a-mq_streaming - -
运行在以下环境
应用 redhat jboss_data_grid 7.0.0 -
运行在以下环境
应用 redhat jboss_data_virtualization 6.0.0 -
运行在以下环境
应用 redhat jboss_enterprise_application_platform 6.0.0 -
运行在以下环境
应用 redhat jboss_enterprise_application_platform 7.0 -
运行在以下环境
应用 redhat jboss_fuse 6.0.0 -
运行在以下环境
应用 redhat jboss_fuse 7.0.0 -
运行在以下环境
应用 redhat jboss_fuse_service_works 6.0 -
运行在以下环境
应用 redhat jboss_operations_network 3.0 -
运行在以下环境
应用 redhat jboss_web_server 3.0 -
运行在以下环境
应用 redhat openshift_application_runtimes - -
运行在以下环境
应用 redhat openshift_container_platform 4.6 -
运行在以下环境
应用 redhat openshift_container_platform 4.7 -
运行在以下环境
应用 redhat openshift_container_platform 4.8 -
运行在以下环境
应用 redhat process_automation 7.0 -
运行在以下环境
应用 redhat single_sign-on 7.0 -
运行在以下环境
应用 redhat software_collections - -
运行在以下环境
系统 alibaba_cloud_linux_2.1903 log4j * Up to
(excluding)
1.2.17-17.1.al7
运行在以下环境
系统 alibaba_cloud_linux_3 parfait * Up to
(excluding)
0.5.4-4.al8
运行在以下环境
系统 amazon_2 log4j * Up to
(excluding)
1.2.17-17.amzn2
运行在以下环境
系统 amazon_AMI log4j * Up to
(excluding)
1.2.17-16.12.amzn1
运行在以下环境
系统 anolis_os_7 log4j * Up to
(excluding)
1.2.17-18
运行在以下环境
系统 centos_7 log4j * Up to
(excluding)
1.2.17-17.el7_4
运行在以下环境
系统 debian_10 apache-log4j1.2 * Up to
(excluding)
1.2.17-8+deb10u2
运行在以下环境
系统 debian_11 apache-log4j1.2 * Up to
(excluding)
1.2.17-10+deb11u1
运行在以下环境
系统 debian_12 apache-log4j1.2 * Up to
(excluding)
1.2.17-11
运行在以下环境
系统 debian_9 apache-log4j1.2 * Up to
(excluding)
1.2.17-7+deb9u2
运行在以下环境
系统 kylinos_aarch64_V10 log4j * Up to
(excluding)
1.2.17-18.el7_4.ns7.01
运行在以下环境
系统 kylinos_aarch64_V10SP2 log4j12 * Up to
(excluding)
1.2.17-25.p01.ky10
运行在以下环境
系统 kylinos_x86_64_V10 log4j * Up to
(excluding)
1.2.17-18.el7_4.ns7.01
运行在以下环境
系统 kylinos_x86_64_V10SP2 log4j12 * Up to
(excluding)
1.2.17-25.p01.ky10
运行在以下环境
系统 opensuse_Leap_15.2 log4j12 * Up to
(excluding)
1.2.17-lp152.3.3.2
运行在以下环境
系统 opensuse_Leap_15.3 log4j12 * Up to
(excluding)
1.2.17-4.3.1
运行在以下环境
系统 oracle_6 log4j * Up to
(excluding)
1.2.14-6.4.1.el6_10
运行在以下环境
系统 oracle_7 log4j * Up to
(excluding)
1.2.17-17.el7_4
运行在以下环境
系统 redhat_7 log4j * Up to
(excluding)
1.2.17-17.el7_4
运行在以下环境
系统 suse_12_SP5 log4j * Up to
(excluding)
1.2.15-126.6.1
运行在以下环境
系统 ubuntu_18.04 apache-log4j1.2 * Up to
(excluding)
1.2.17-8+deb10u1ubuntu0.1
运行在以下环境
系统 ubuntu_20.04 apache-log4j1.2 * Up to
(excluding)
1.2.17-9ubuntu0.1
运行在以下环境
系统 ubuntu_21.04 apache-log4j1.2 * Up to
(excluding)
1.2.17-10ubuntu0.21.04.1
运行在以下环境
系统 ubuntu_21.10 apache-log4j1.2 * Up to
(excluding)
1.2.17-10ubuntu0.21.10.1
阿里云评分
5.8
  • 攻击路径
    远程
  • 攻击复杂度
    困难
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    POC 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    无影响
  • 服务器危害
    N/A
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-502 可信数据的反序列化
阿里云安全产品覆盖情况