Amazon Linux 2022：log4j (ALAS2022-2022-225)

critical Nessus Plugin ID 168572

語系：

概要

遠端 Amazon Linux 2022 主機缺少一個安全性更新。

說明

遠端主機上安裝的 log4j 版本早於 2.17.2-1 版本。因此，它受到 ALAS2022-2022-225 公告中所提及的多個弱點影響。

- 在 Log4j2 2.0-beta9 2.15.0 及更早版本 (安全性版本 2.12.2、 2.12.3 和 2.3.1 除外) 中，組態、記錄訊息和參數中使用的 JNDI 功能無法防範受攻擊者控制的 LDAP 和其他 JNDI 相關端點。若攻擊者能夠控制記錄訊息或記錄訊息參數，則可在啟用訊息查閱替代時，執行從 LDAP 伺服器載入的任意程式碼。自 log4j 2.15.0 開始，此行為已預設為停用。自 2.16.0 版 (以及 2.12.2、2.12.3 和 2.3.1 版) 開始，此功能已完全移除。請注意，此弱點為 log4j-core 特有，不會影響 log4net、log4cxx 或其他 Apache Logging Services 專案。
(CVE-2021-44228)

- 如果對目標 LDAP 伺服器具有控制權的攻擊者設定使用 JDBC Appender 以及 JNDI LDAP 資料來源 URI，Apache Log4j2 2.0-beta7 版至 2.17.0 版 (不包括安全性修正版本 2.3.2 和 2.12.4) 將易於遭受遠端程式碼執行 (RCE) 攻擊。此問題已透過將 JNDI 資料來源名稱限制為 Log4j2 2.17.1、 2.12.4 和 2.3.2 版本中的 java 通訊協定來進行修正。
(CVE-2021-44832)

據發現，在某些非預設組態中，對 Apache Log4j CVE-2021-44228 中位址 2.15.0 的修正不完整。當記錄組態使用具有內容查閱的非預設模式配置 (例如，$${ctx: loginId}) 或執行緒內容對應模式 (%X、%mdc 或 %MDC)，對執行緒內容映射 (MDC) 具有控制權的攻擊者可藉此使用 JNDI Lookup 模式特製惡意輸入資料，進而在某些環境下洩露資訊和執行遠端程式碼，並且在所有環境下執行本機程式碼。Log4j 2.16.0 (Java 8) 和 Log4j 2.12.2 (Java 7) 可透過移除對訊息查閱模式的支援並預設停用 JNDI 功能來修正此問題。
(CVE-2021-45046)

- Apache Log4j2 2.0-alpha1 2.16.0 版以及之前的所有版本 (2.12.3 和 2.3.1 除外) 未能防止自我參照查閱中不受控制的遞回。這會允許可控制執行緒內容對應資料的攻擊者在解譯特製字串時造成拒絕服務。此問題已在 Log4j 2.17.0、2.12.3 和 2.3.1 版中修正。(CVE-2021-45105)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。