Linuxeden开源社区
这个固定在Apache中的Log4j 2.每个漏洞的发布版本页面列出了所有安全漏洞被赋予了安全的影响评价由Apache的日志安全团队。请注意,此评级可能因平台而异。我们还列出了已知受该缺陷影响的 Apache Log4j 版本,并在未验证缺陷的情况下列出带有问号的版本。
注意:本页末尾列出了不是 Log4j 漏洞但针对 Log4j 错误报告或 Log4j 提供解决方法的漏洞。
请注意,Log4j 1.x 已结束生命周期,不再受支持。2015 年 8 月之后针对 Log4j 1.x 报告的漏洞未经过检查,也不会修复。用户应该升级到 Log4j 2 以获得安全修复。
请注意,从未提供二进制补丁。如果您需要应用源代码补丁,请使用您正在使用的 Apache Log4j 版本的构建说明。对于 Log4j 2,这是 BUILDING.md。该文件可以在源分发的根子目录中找到。
如果您需要有关构建或配置 Log4j 的帮助或按照说明缓解此处列出的已知漏洞的其他帮助,请将您的问题发送到公共 Log4j 用户邮件列表
如果您遇到未列出的安全漏洞或其他对安全有影响的意外行为,或者这里的描述不完整,请私下向Log4j 安全团队报告。谢谢你。
在 Log4j 2.17.1 (Java 8)、2.12.4 (Java 7) 和 2.3.2 (Java 6) 中修复
CVE-2021-44832:当攻击者控制配置时,Apache Log4j2 通过 JDBC Appender 容易受到 RCE 的攻击。
| CVE-2021-44832 | 远程代码执行 |
|---|---|
| 严重性 | 缓和 |
| 基础 CVSS 分数 | 6.6 (AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H) |
| 受影响的版本 | 从 2.0-alpha7 到 2.17.0 的所有版本,不包括 2.3.2 和 2.12.4 |
描述
Apache Log4j2 版本 2.0-beta7 到 2.17.0(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行 (RCE) 攻击,其中有权修改日志配置文件的攻击者可以构建恶意配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 协议来解决。
减轻
Log4j 1.x 缓解
Log4j 1.x 不受此漏洞影响。
Log4j 2.x 缓解
升级到 Log4j 2.3.2(适用于 Java 6)、2.12.4(适用于 Java 7)或 2.17.1(适用于 Java 8 及更高版本)。
在之前的版本中确认,如果正在使用 JDBC Appender,它不会被配置为使用除 Java 之外的任何协议。
请注意,只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。
另请注意,Apache Log4j 是唯一受此漏洞影响的日志服务子项目。Log4net 和 Log4cxx 等其他项目不受此影响。
发布详情
从版本 2.17.1(以及 Java 7 和 Java 6 的 2.12.4 和 2.3.2)开始,JDBC Appender 将使用 JndiManager 并要求 log4j2.enableJndiJdbc 系统属性包含 true 值以启用 JNDI。
启用 JNDI 的属性已从“log4j2.enableJndi”重命名为三个单独的属性:log4j2.enableJndiLookup、log4j2.enableJndiJms 和 log4j2.enableJndiContextSelector。
JNDI 功能已在以下版本中得到强化:2.3.1、2.12.2、2.12.3 或 2.17.0:从这些版本开始,已删除对 LDAP 协议的支持,并且 JNDI 连接仅支持 JAVA 协议。
工作正在进行中
随着更多信息的了解,Log4j 团队将继续积极更新此页面。
信用
没有为此问题授予任何功劳。
参考
转自 https://logging.apache.org/log4j/2.x/security.html