描述:
Apache Software Foundation 发布了一个保安建议,以应对 Apache Log4j 中的一个漏洞。远端攻击者可以传送特制的请求来攻击这个漏洞。
有报告指 Apache Log4j 中的一个新服务受阻断漏洞 (CVE-2021-45105) 的概念验证 (PoC) 程式码已被公开。虽然该漏洞不是属于上周发布的高危保安警报 (A21-12-05) 中涵盖的远端执行程式码漏洞 (CVE-2021-44228) 的变种,但由于最近针对 Apache Log4j 的大规模扫描和广泛攻击漏洞的活动,系统管理员应立即为受影响的系统/应用程式安装修补程式。
受影响的系统:
- 基于 Java 的系统或应用程式使用了 Apache Log4j 2.17.0 之前的版本
影响:
成功利用这个漏洞可以导致在受影响的系统服务受阻断。
建议:
Apache Software Foundation 发行了有关产品的新版本以应对以上问题。用户可从以下网址下载:
https://logging.apache.org/log4j/2.x/security.html
除了内部和自主开发的系统/应用程式外,商业产品和开源软件/程式库也可能受到该漏洞的影响。下面列出了产品供应商的建议,该列表并不包括所有受影响的软件/程式。系统管理员应向产品供应商查询正在使用的软件产品是否受到影响以及相应修补程式或缓解措施的情况。若软件产品确认受到该漏洞的影响,系统管理员应安装修补程式或遵从产品供应商的建议以降低风险。
- Cisco
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
- Ubuntu
https://ubuntu.com/security/notices/USN-5203-1
如无法立即安装修补程式,受影响系统的管理人员应遵从 Apache Software Foundation 的建议,立即采取行动以降低风险:
- 于记录设定中的 PatternLayout 以 Thread Context Map patterns (%X, %mdc, or %MDC) 替代 Context Lookups 如 ${ctx:loginId} 或 $${ctx:loginId} 。
- 否则,在设定中删除 Context Lookups 的参照如 ${ctx:loginId} 或 $${ctx:loginId} 而它们是源自外部连接的应用程式例如 HTTP 标头或用户输入。
进一步信息:
- https://logging.apache.org/log4j/2.x/
- https://www.hkcert.org/tc/security-bulletin/apache-log4j-denial-of-service-vulnerability_20211220
- https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105