GLSA-202402-16:Apache Log4j:多個弱點
critical Nessus Plugin ID 190670
語系:
說明
遠端主機受到 GLSA-202402-16 中所述的弱點影響 (Apache Log4j:多個弱點)- Log4j 1.2 中包含的一個 SocketServer 類別,此類別容易受到將未受信任資料還原序列化的影響,在接聽記錄資料的未受信任網路流量時,若與還原序列化小工具結合,惡意人士可能會惡意利用未受信任資料來從遠端執行任意程式碼。這會影響到 1.2 至 1.2.17 的 Log4j 版本。
(CVE-2019-17571)
- Apache Log4j SMTP 附加器中存在不當驗證與主機不相符的憑證錯誤。該錯誤允許 SMTPS 連線遭到攔截式攻擊攔截,進而洩漏透過該附加程式傳送的任何記錄訊息。已在 Apache Log4j 2.12.3 和 2.13.1 中修正 (CVE-2020-9488)
- 在 2.1.0 之前的 Apache Chainsaw 版本中發現一個還原序列化缺陷,可導致惡意程式碼執行。(CVE-2020-9493)
- 當攻擊者具有 Log4j 組態的寫入存取權,或組態參照攻擊者有權存取的 LDAP 服務時,所有 Log4j 1.x 版本中的 JMSSink 都容易受到未受信任資料的還原序列化影響。攻擊者可藉助提供 TopicConnectionFactoryBindingName 組態,造成 JMSSink 以與 CVE-2021-4104 類似的方式執行可導致遠端程式碼執行情形的 JNDI 要求。請注意,此問題只會在特別設定為使用 JMSSink (非預設) 時影響 Log4j 1.x。Apache Log4j 1.2 已於 2015 年 8 月結束其生命週期。使用者應升級至 Log4j 2,因為該版本可解決先前版本中的許多其他問題。(CVE-2022-23302)
- 根據設計,Log4j 1.2.x 中的 JDBCAppender 接受 SQL 陳述式做為組態參數,其中要插入的值是來自 PatternLayout 的轉換器。此情形可能一律包含訊息轉換器 %m。攻擊者可藉此將建構的字串輸入已記錄應用程式的輸入欄位或標頭,進而透過允許執行非預期的 SQL 查詢來操控 SQL。請注意,此問題只會在特別設定為使用 JDBCAppender (非預設) 時影響 Log4j 1.x。
從 2.0-beta8 版開始,JDBCAppender 重新引入,可適當支援參數化 SQL 查詢,並進一步自訂記錄中的欄位。Apache Log4j 1.2 已於 2015 年 8 月結束其生命週期。使用者應升級至 Log4j 2,因為該版本可解決先前版本中的許多其他問題。(CVE-2022-23305)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
Gentoo 已停止支援 log4j。我們建議使用者取消合併 BladeEnc:# emerge --ask --depclean dev-java/log4j
另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 190670
檔案名稱: gentoo_GLSA-202402-16.nasl
版本: 1.1
類型: local
已發布: 2024/2/18
已更新: 2024/2/18
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2019-17571
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 8.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2022-23305
弱點資訊
CPE: cpe:/o:gentoo:linux
必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2024/2/18
弱點發布日期: 2019/12/20
參考資訊
CVE: CVE-2019-17571, CVE-2020-9488, CVE-2020-9493, CVE-2022-23302, CVE-2022-23305