低危 Apache Log4j2 远程代码执行漏洞(CVE-2021-44832)

CVE编号

CVE-2021-44832

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2021-12-29
漏洞描述
Apache Log4j2 版本 2.0-beta7 到 2.17.0(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行 (RCE) 攻击,其中有权修改日志配置文件的攻击者可以构建恶意配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 协议来解决。
解决建议
Log4j 1.x 缓解
Log4j 1.x 不受此漏洞影响。

Log4j 2.x 缓解
升级到 Log4j 2.3.2(适用于 Java 6)、2.12.4(适用于 Java 7)或 2.17.1(适用于 Java 8 及更高版本)。

在之前的版本中确认,如果正在使用 JDBC Appender,它不会被配置为使用除 Java 之外的任何协议。

请注意,只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。

另请注意,Apache Log4j 是唯一受此漏洞影响的日志服务子项目。Log4net 和 Log4cxx 等其他项目不受此影响。
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 Apache Log4j * From
(including)
2.0-beta7
Up to
(excluding)
2.3.2
运行在以下环境
应用 Apache Log4j * From
(including)
2.13.0
Up to
(excluding)
2.17.1
运行在以下环境
应用 Apache Log4j * From
(including)
2.4
Up to
(excluding)
2.12.4
运行在以下环境
系统 amazon_2 apache-log4j2 * Up to
(excluding)
2.0.6-1.amzn2
运行在以下环境
系统 debian_10 apache-log4j2 * Up to
(excluding)
2.17.1-1~deb10u1
运行在以下环境
系统 debian_11 apache-log4j2 * Up to
(excluding)
2.17.1-1~deb11u1
运行在以下环境
系统 debian_12 apache-log4j2 * Up to
(including)
2.17.0-1
运行在以下环境
系统 debian_9 apache-log4j2 * Up to
(excluding)
2.12.4-0+deb9u1
运行在以下环境
系统 fedora_34 apache-log4j2 * Up to
(excluding)
2.17.1-1.fc34
运行在以下环境
系统 fedora_35 apache-log4j2 * Up to
(excluding)
2.17.1-1.fc35
运行在以下环境
系统 opensuse_Leap_15.2 apache-log4j2 * Up to
(excluding)
2.17.0-lp152.3.15.1
运行在以下环境
系统 opensuse_Leap_15.3 apache-log4j2 * Up to
(excluding)
2.17.0-4.16.1
运行在以下环境
系统 ubuntu_18.04 apache-log4j2 * Up to
(excluding)
2.12.4-0ubuntu0.1
运行在以下环境
系统 ubuntu_20.04 apache-log4j2 * Up to
(excluding)
2.17.1-0.20.04.1
运行在以下环境
系统 ubuntu_21.04 apache-log4j2 * Up to
(excluding)
2.17.1-0.21.04.1
运行在以下环境
系统 ubuntu_21.10 apache-log4j2 * Up to
(excluding)
2.17.1-0.21.10.1
阿里云评分
2.9
  • 攻击路径
    远程
  • 攻击复杂度
    困难
  • 权限要求
    管控权限
  • 影响范围
    有限影响
  • EXP成熟度
    POC 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-20 输入验证不恰当
CWE-74 输出中的特殊元素转义处理不恰当(注入)
阿里云安全产品覆盖情况