GLSA-202402-16:Apache Log4j:多个漏洞
critical Nessus 插件 ID 190670
语言:
描述
远程主机受到 GLSA-202402-16 中所述漏洞的影响(Apache Log4j:多个漏洞)- Log4j 1.2 中包含的 SocketServer 类容易受到不受信任数据反序列化的影响;在侦听不受信任的网络流量网络日志数据时与反序列化小工具相结合,其会被利用来远程执行任意代码。此问题会影响的 Log4j 最高版本为 1.2 和 1.2.17。
(CVE-2019-17571)
- 未正确验证 Apache Log4j SMTP 附加程序中与主机不匹配的证书。这让 SMTPS 连接可遭到中间人攻击拦截,进而泄露通过该附加程序发送的任何日志消息。已在 Apache Log4j 2.12.3 和 2.13.1 中修复 (CVE-2020-9488)
- 在 2.1.0 之前的 Apache Chainsaw 版本中发现一个反序列化缺陷,可导致恶意代码执行。(CVE-2020-9493)
- 当攻击者对 Log4j 配置具有写入访问权限或该配置引用攻击者具有访问权限的 LDAP 服务时,所有 Log4j 1.x 版本中的 JMSSink 都容易受到反序列化不受信任数据的影响。攻击者可通过提供 TopicConnectionFactoryBindingName 配置,导致 JMSSink 以与 CVE-2021-4104 类似的方式执行 JNDI 请求,从而造成远程代码执行。请注意,此问题仅影响特别配置为使用 JMSSink(非默认设置)的 Log4j 1.x 。Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2,因为该版本可解决先前版本中存在的许多其他问题。(CVE-2022-23302)
- 按照设计,Log4j 1.2.x 中的 JDBCAppender 接受 SQL 语句作为配置参数,其中要插入的值为来自 PatternLayout 的转换器。可能始终包含消息转换器 %m。这允许攻击者通过在所记录应用程序的输入字段或标头中输入构建的字符串来操纵 SQL,从而允许执行非预期的 SQL 查询。请注意,此问题仅影响特别配置为使用 JDBCAppender(非默认设置)的 Log4j 1.x 。
从 2.0-beta8 版本开始,重新引入 JDBCAppender,以适当支持参数化 SQL 查询,并对日志中写入的列进行进一步自定义。Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2,因为该版本可解决先前版本中存在的许多其他问题。(CVE-2022-23305)
请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号来判断。
解决方案
Gentoo 已停止支持 log4j。我们建议用户取消合并 BladeEnc:# emerge --ask --depclean dev-java/log4j
另见
插件详情
严重性: Critical
ID: 190670
文件名: gentoo_GLSA-202402-16.nasl
版本: 1.1
类型: local
发布时间: 2024/2/18
最近更新时间: 2024/2/18
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2019-17571
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2022-23305
漏洞信息
CPE: cpe:/o:gentoo:linux
必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/2/18
漏洞发布日期: 2019/12/20
参考资料信息
CVE: CVE-2019-17571, CVE-2020-9488, CVE-2020-9493, CVE-2022-23302, CVE-2022-23305