1.Описание уязвимости
Log4j — это компонент журнала с открытым исходным кодом, реализованный Apache. Logback также разработан автором log4j. Он имеет лучшие функции и представляет собой структуру журнала, используемую для замены log4j. Это собственная реализация slf4j. Log4j2 — это улучшенная версия log4j 1.x и logback. Говорят, что в ней реализованы некоторые новые технологии (асинхронный режим без блокировки и т. д.), благодаря чему пропускная способность и производительность журнала в 10 раз выше, чем в log4j 1.x, а также решены некоторые проблемы. проблемы тупиковой ситуации, ошибки, а конфигурация проще и гибче. Эта структура журнала широко используется в бизнес-системах для записи информации журнала. Компонент Apache Log4j2 снова подвергся уязвимости, связанной с отказом в обслуживании.Номер уязвимости: CVE-2021-45105, уровень угрозы уязвимости: высокий риск.
Версии Apache Log4j2, включая 2.16.0, не предотвращают неконтролируемую рекурсию при поиске по ссылкам на себя. Если в конфигурации ведения журнала используется нестандартная схема схемы и поиск контекста (например, $${ctx:loginId}), злоумышленник, управляющий входными данными карты контекста потока (MDC), может вручную создать вредоносные входные данные, содержащие рекурсивный поиск. , в результате чего StackOverflowError завершит процесс. Это также известно как атака DOS (отказ в обслуживании).
Поскольку 9 декабря уязвимость удаленного выполнения кода Apache log4j2 (CVE-2021-44228) широко распространилась в Интернете, в компонентах Apache log4j2 были обнаружены многочисленные уязвимости безопасности, и официальные лица последовательно выпустили версии 2.15.0-rc1 и 2.15. .0-rc2, 2.15.0, 2.15.1-rc1, 2.16.0, 2.17.0 и другие обновленные версии.
2. Влияние на цепочку поставок
Согласно неофициальной статистике, существует более 170 000 компонентов с открытым исходным кодом, которые прямо или косвенно ссылаются на Log4j. В настоящее время известны затронутые приложения и компоненты: Apache Solr, Apache Struts2, Apache Flink, Apache Druid, Apache Log4j SLF4J Binding, Spring-boot-strater-log4j2, Hadoop Hive, ElasticSearch, Jedis, Logging, Logstash и VMware, а также другие продукты и т. д. .
Поскольку воздействие данной уязвимости носит глобальный характер, затронуты продукты крупных зарубежных известных компаний и организаций, таких как Amazon, Apache, Atlassian, Cisco, Debian, Docker, Fortinet, Google, IBM, Intel, Juniper Networ, Microsoft, Oracle, Red Hat, Ubuntu и VMware и т. д.
Уязвимость CVE-2021-44228 легко эксплуатировать, конфигурацию по умолчанию можно использовать удаленно, а PoC/EXP был опубликован в Интернете и широко использовался киберпреступными группами.
3. Масштаб воздействия уязвимости
CVE-2021-4104: Apache Log4j 1.2.
CVE-2021-44228: Apache Log4j 2.0-beta9 – 2.12.1, Apache Log4j 2.13.0 – 2.15.0-rc1
CVE-2021-45046: Apache Log4j 2.0-beta9 – 2.12.1, Apache Log4j 2.13.0-2.15.0
4. Затронутые версии
CVE-2021-44228 Уязвимость удаленного выполнения кода Apache Log4j:
2.0-beta9 <= Apache Log4j 2.x < 2.15.0 (версия 2.12.2 не затрагивается)
CVE-2021-45046 Уязвимость Apache Log4j, связанная с отказом в обслуживании и удаленным выполнением кода:
2.0-beta9 <= Apache Log4j 2.x < 2.15.0 (версия 2.12.2 не затрагивается)
CVE-2021-4104 ApacheLog4j 1.2 Уязвимость удаленного выполнения кода JMSAppender:
Апач Log4j = 1,2
CVE-2021-45105 Уязвимость Apache Log4j2, связанная с отказом в обслуживании:
2.0-beta9 <= Apache Log4j <= 2.16.0
5. Предложения по ремонту:
1. Официальное обновление до последней версии.
https://github.com/apache/logging-log4j2/tags
2. Разверните RASP (самозащита приложений во время выполнения) для самозащиты приложений во время выполнения.
6. Ссылка:
https://www.venustech.com.cn/new_type/aqtg/20211216/23340.html
https://security.snyk.io/vuln/SNYK-JAVA-ORGAPACHELOGGINGLOG4J-2321524
https://github.com/jas502n/Log4j2-CVE-2021-44228
https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html
Оригинал статьи, автор: Chief Security Assessment, при перепечатке указать источник: https://cncso.com/ru/apache-log4j2-comComponent-denial-of-service.html
