- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:CVE-2022-23307、CVE-2022-23302、CVE-2022-23305
- 漏洞类型: 其他
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:金山毒霸
- 发布时间:2022-01-21
- 更新时间:2022-01-21
漏洞简介
CVE-2022-23305
由于Log4j 1.2.x中的JDBCAppender接受SQL语句作为配置参数,PatternLayout的消息转换器未对其中输入的值进行过滤。攻击者可通过构造特殊的字符串到记录应用程序输入的内容中来操纵SQL,从而实现非法的SQL查询。Log4j默认配置时不受此漏洞影响。
CVE-2022-23302
当攻击者具有修改Log4j配置的权限或配置引用了攻击者有权访问的LDAP服务时,Log4j1.x所有版本中的JMSSink 都容易受到不可信数据的反序列化。攻击者可以提供一个TopicConnectionFactoryBindingName配置,利用JMSSink执行JNDI请求,从而以与CVE-2021-4104类似的方式远程执行代码。Log4j默认配置时不受此漏洞影响。
CVE-2022-23307
漏洞公示
Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。
毒霸安全专家建议广大用户及时将Log4j版本升级至最新版本,请做好资产自查以及预防工作,避免因为该漏洞遭受黑客攻击。
参考网站
受影响实体
Apache Log4j 1.x
Apache Chainsaw < 2.1.0
补丁
由于2015年Apache官方已停止Log4j 1.x的维护,毒霸安全专家建议受影响的用户尽快升级到安全版本。
(1)从当前版本升级到2.x版本相关迁移文档如下:
https://logging.apache.org/log4j/2.x/manual/migration.html
(2)以下版本目前为安全版本:
Apache Log4j 2.17.1-rc1
Apache Log4j 2.12.4-rc1
Apache Log4j 2.3.2-rc1
缓解措施:
1. Apache log4j JMSSink反序列化代码执行漏洞(CVE-2022-23302)缓解措施如下:
(1)注释掉或删除 Log4j 配置中的 JMSSink;
(2)限制系统用户对应用程序平台的访问,以防止攻击者修改 Log4j 的配置;
(3)使用下列命令,从log4j jar包中删除 JMSSink 类文件:
zip -q -d log4j-*.jar org/apache/log4j/net/JMSSink.class2. Apache log4j Chainsaw反序列化代码执行漏洞(CVE-2022-23307)缓解措施如下:
(1)不要将 Chainsaw 配置为读取序列化的日志事件,可以使用其他接收器,例如 XMLSocketReceiver。
3. Apache log4j JDBCAppender SQL注入漏洞(CVE-2022-23305)缓解措施如下:
(1)从Log4j的配置文件中删除JDBCAppender的使用。
