阿里云漏洞库

漏洞描述

Apache Log4j2 版本 2.0-beta7 到 2.17.0（不包括安全修复版本 2.3.2 和 2.12.4）容易受到远程代码执行 (RCE) 攻击，其中有权修改日志配置文件的攻击者可以构建恶意配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用，该 JNDI URI 可以执行远程代码。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 协议来解决。

解决建议

Log4j 1.x 缓解
Log4j 1.x 不受此漏洞影响。

Log4j 2.x 缓解
升级到 Log4j 2.3.2（适用于 Java 6）、2.12.4（适用于 Java 7）或 2.17.1（适用于 Java 8 及更高版本）。

在之前的版本中确认，如果正在使用 JDBC Appender，它不会被配置为使用除 Java 之外的任何协议。

请注意，只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。

另请注意，Apache Log4j 是唯一受此漏洞影响的日志服务子项目。Log4net 和 Log4cxx 等其他项目不受此影响。

参考链接
http://www.openwall.com/lists/oss-security/2021/12/28/1
https://cert-portal.siemens.com/productcert/pdf/ssa-784507.pdf
https://issues.apache.org/jira/browse/LOG4J2-3293
https://lists.apache.org/thread/s1o5vlo78ypqxnzn6p8zf6t9shtq5143
https://lists.debian.org/debian-lts-announce/2021/12/msg00036.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://logging.apache.org/log4j/2.x/security.html
https://security.netapp.com/advisory/ntap-20220104-0001/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	Apache	Log4j	*	From (including) 2.0-beta7	Up to (excluding) 2.3.2
	运行在以下环境
	应用	Apache	Log4j	*	From (including) 2.13.0	Up to (excluding) 2.17.1
	运行在以下环境
	应用	Apache	Log4j	*	From (including) 2.4	Up to (excluding) 2.12.4
	运行在以下环境
	系统	amazon_2	aws-kinesis-agent	*		Up to (excluding) 2.0.6-1.amzn2
	运行在以下环境
	系统	amazon_2022	log4j	*		Up to (excluding) 2.17.2-1.amzn2022.0.3
	运行在以下环境
	系统	debian_10	apache-log4j2	*		Up to (excluding) 2.17.1-1~deb10u1
	运行在以下环境
	系统	debian_11	apache-log4j2	*		Up to (excluding) 2.17.1-1~deb11u1
	运行在以下环境
	系统	debian_12	apache-log4j2	*		Up to (excluding) 2.17.1-1
	运行在以下环境
	系统	debian_9	apache-log4j2	*		Up to (excluding) 2.12.4-0+deb9u1
	运行在以下环境
	系统	fedora_34	log4j	*		Up to (excluding) 2.17.1-1.fc34
	运行在以下环境
	系统	fedora_35	log4j	*		Up to (excluding) 2.17.1-1.fc35
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	mx4j	*		Up to (excluding) 3.0.1-4.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP3	log4j	*		Up to (excluding) 2.17.0-3.p01.a.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	mx4j	*		Up to (excluding) 3.0.1-4.ky10
	运行在以下环境
	系统	opensuse_Leap_15.2	log4j	*		Up to (excluding) 2.17.0-lp152.3.15.1
	运行在以下环境
	系统	opensuse_Leap_15.3	log4j	*		Up to (excluding) 2.17.0-4.16.1
	运行在以下环境
	系统	ubuntu_18.04	apache-log4j2	*		Up to (excluding) 2.12.4-0ubuntu0.1
	运行在以下环境
	系统	ubuntu_20.04	apache-log4j2	*		Up to (excluding) 2.17.1-0.20.04.1
	运行在以下环境
	系统	ubuntu_21.04	apache-log4j2	*		Up to (excluding) 2.17.1-0.21.04.1
	运行在以下环境
	系统	ubuntu_21.10	apache-log4j2	*		Up to (excluding) 2.17.1-0.21.10.1

攻击路径

远程
攻击复杂度

困难
权限要求

管控权限
影响范围

有限影响
EXP成熟度

POC 已公开
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-20	输入验证不恰当
CWE-74	输出中的特殊元素转义处理不恰当（注入）

低危 Apache Log4j2 远程代码执行漏洞（CVE-2021-44832）

漏洞描述

解决建议

参考链接

受影响软件情况