Debian DLA-2905-1：apache-log4j1.2 - LTS 安全更新

critical Nessus 插件 ID 157261

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 9 主机上安装的多个程序包受到 dla-2905 公告中提及的多个漏洞影响。

- 当攻击者具有 Log4j 配置的写入权限时，Log4j 1.2 中的 JMSAppender 容易受到不受信任数据反序列化的影响。攻击者可通过提供 TopicBindingName 和 TopicConnectionFactoryBindingName 配置，导致 JMSAppender 以与 CVE-2021-44228 类似的方式执行 JNDI 请求，从而造成远程代码执行。请注意，此问题仅影响特别配置为使用 JMSAppender（非默认设置）的 Log4j 1.2 。Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2，因为该版本可解决先前版本中存在的许多其他问题。(CVE-2021-4104)

- 当攻击者对 Log4j 配置具有写入访问权限或该配置引用攻击者具有访问权限的 LDAP 服务时，所有 Log4j 1.x 版本中的 JMSSink 都容易受到反序列化不受信任数据的影响。攻击者可通过提供 TopicConnectionFactoryBindingName 配置，导致 JMSSink 以与 CVE-2021-4104 类似的方式执行 JNDI 请求，从而造成远程代码执行。请注意，此问题仅影响特别配置为使用 JMSSink（非默认设置）的 Log4j 1.x 。Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2，因为该版本可解决先前版本中存在的许多其他问题。(CVE-2022-23302)

- 按照设计，Log4j 1.2.x 中的 JDBCAppender 接受 SQL 语句作为配置参数，其中要插入的值为来自 PatternLayout 的转换器。可能始终包含消息转换器 %m。这允许攻击者通过在所记录应用程序的输入字段或标头中输入构建的字符串来操纵 SQL，从而允许执行非预期的 SQL 查询。请注意，此问题仅影响特别配置为使用 JDBCAppender（非默认设置）的 Log4j 1.x 。
从 2.0-beta8 版本开始，重新引入 JDBCAppender，以适当支持参数化 SQL 查询，并对日志中写入的列进行进一步自定义。Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2，因为该版本可解决先前版本中存在的许多其他问题。(CVE-2022-23305)

- CVE-2020-9493 发现 Apache Chainsaw 中存在一个反序列化问题。V2.0 之前版本的 Chainsaw 属于 Apache Log4j 1.2.x 的一个组件，其中存在相同的问题。(CVE-2022-23307)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。