出品 | OSC開源社區(qū)（ID：oschina2013）

繼 CVE-2021-44228 和 CVE-2021-45046 之后發(fā)現(xiàn)的第三個 Log4Shell 漏洞。

距離 Apache Log4j “核彈級”漏洞的公開已過去將近一周，在此期間被記錄的漏洞總共有兩個，分別是 CVE-2021-44228 和 CVE-2021-45046。針對漏洞的補(bǔ)丁版本也早已發(fā)布：

• Apache Log4j 2.16.0 已發(fā)布
• Apache Log4j 2.15.0 發(fā)布，安全漏洞已得到解決

不過安全公司 Praetorian 的研究人員昨日表示，2.15.0 存在一個更嚴(yán)重的漏洞——信息泄露漏洞，可用于從受影響的服務(wù)器下載數(shù)據(jù)。

與此同時(shí)，Praetorian 已將該漏洞的所有技術(shù)細(xì)節(jié)發(fā)送給 Apache 軟件基金會，他們尚未透露更多細(xì)節(jié)。Praetorian 強(qiáng)烈建議使用者盡快升級到 2.16.0，但尚不清楚此錯誤是否已在 2.16.0 版本中解決。

Praetorian 研究人員也無法確定數(shù)據(jù)泄露漏洞的在野利用。他們沒有提供有關(guān)該漏洞的其他詳細(xì)信息，這是因?yàn)椴幌Ｍ诳洼p易利用漏洞。

研究人員提供了新漏洞的概念驗(yàn)證：https://www.youtube.com/watch?v=bxDEJDqANig

Log4shell 漏洞背景說明

Apache Log4j2 是一個基于 Java 的日志記錄工具。該工具重寫了 Log4j 框架，并且引入了大量豐富的特性，被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄日志信息。

CVE-2021-44228 遠(yuǎn)程控制漏洞（RCE）影響從 2.0-beta9 到 2.14.1 的 ?Log4j ?版本。受影響的 Log4j 版本包含 Java 命名和目錄接口 ?(JNDI)?功能，可以執(zhí)行如消息查找替換等操作，攻擊者可以通過向易受攻擊的系統(tǒng)提交特制的請求，從而完全控制系統(tǒng)，遠(yuǎn)程執(zhí)行任意代碼，然后進(jìn)行竊取信息、啟動勒索軟件或其他惡意活動。

Apache Log4j2 安全補(bǔ)丁更新過程

• 2021 年 12 月 11 日：發(fā)布?2.15.0?版本，對?JNDI 查詢功能進(jìn)行限制。但此版本的修復(fù)不完整，導(dǎo)致了第二個 Log4j 漏洞漏洞：CVE-2021-45046。
• 2021-12-13：?發(fā)布?2.16.0?版本，為了解決 CVE-2021-45046 漏洞， Log4j 2.16.0 直接禁用了 JDNI 功能。

官方通告

• CVE-2021-44228（Log4j2?初始漏洞）

Apache Log4j 2 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0 版本的 JNDI 功能在配置、日志消息和參數(shù)中使用，無法防止攻擊者控制的 LDAP 和其他 JNDI 相關(guān)端點(diǎn)。當(dāng)啟用消息查找替換時(shí)，控制日志消息或日志消息參數(shù)的攻擊者可以執(zhí)行從 LDAP 服務(wù)器加載的任意代碼。從 log4j 2.15.0 開始，默認(rèn)情況下已禁用此行為。從版本 2.16.0 開始，此功能已完全刪除。請注意，此漏洞特定于 log4j-core，不會影響 log4net、log4cxx 或其他 Apache 日志服務(wù)項(xiàng)目。

• CVE-2021-45046（Log4j 2.15.0?未完整修復(fù)的漏洞）

Apache Log4j 2.15.0 中針對 CVE-2021-44228 的修復(fù)在某些非默認(rèn)配置中不完整。當(dāng)日志配置使用非默認(rèn)模式布局和上下文查找（例如，$${ctx:loginId}）或線程上下文映射模式（ %X、%mdc 或 %MDC）使用 JNDI 查找模式制作惡意輸入數(shù)據(jù)，從而導(dǎo)致拒絕服務(wù) (DOS) 攻擊。默認(rèn)情況下，Log4j 2.15.0 盡最大努力將 JNDI LDAP 查找限制為 localhost。Log4j 2.16.0 通過刪除對消息查找模式的支持和默認(rèn)禁用 JNDI 功能來修復(fù)此問題。

• CVE-2021-4104（Log4j 1.2 版本問題）

當(dāng)攻擊者對 Log4j 配置具有寫訪問權(quán)限時(shí)，Log4j 1.2 中的 JMSAppender 容易受到不可信數(shù)據(jù)的反序列化。攻擊者可以提供 TopicBindingName 和 TopicConnectionFactoryBindingName 配置，導(dǎo)致 JMSAppender 以類似于 CVE-2021-44228 的方式執(zhí)行 JNDI 請求，從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

注意， JMSAppender 不是 Log4j 的默認(rèn)配置，因此此漏洞僅在特別配置為 JMSAppender 時(shí)才會影響 Log4j 1.2。事實(shí)上 Apache Log4j 1.2 已于 2015 年 8 月終止生命周期。用戶應(yīng)該升級到Log4j 2，因?yàn)樗鉀Q了以前版本的許多其他問題。

各組織/開源項(xiàng)目對 Log4Shell 漏洞的響應(yīng)匯總

已修復(fù)/更新：

• Metabase?：?v0.41.4 發(fā)布，解決 log4j2 漏洞問題
• openEuler：歐拉開源社區(qū) Log4j 高危安全漏洞修復(fù)完成
• KubeSphere：Apache Log4j 2 遠(yuǎn)程代碼執(zhí)行最新漏洞的修復(fù)方案
• MateCloud?：4.2.8 正式版發(fā)布，修復(fù) Log4j2 的安全漏洞
• openLooKeng?開源社區(qū)：?Apache Log4j2 高危安全漏洞修復(fù)完成
• JPress?博客系統(tǒng)：發(fā)布新版，修復(fù) Log4j 漏洞問題
• Netty?：4.1.72.Final 發(fā)布，更新 Log4j2 版本
• Apache NiFi?：1.5.1 緊急發(fā)布，修復(fù) log4j2 相關(guān)問題
• Jedis?：3.7.1、4.0.0-rc2 發(fā)布，修復(fù) Log4j 安全問題
• Eurynome Cloud?：?v2.6.2.10 發(fā)布，修復(fù) Apache Log4j2 安全問題
• Jedis：?3.7.1、4.0.0-rc2 發(fā)布，修復(fù) Log4j 安全問題
• Apache Solr?：發(fā)布漏洞影響情況和緩解措施
• Minecraft ：發(fā)布漏洞聲明和緩解方案
• Apache Flink?：關(guān)于 Apache Log4j 零日 (CVE-2021-44228) 的建議
• Apache Druid：建議所有用戶升級到 Druid 0.22.1
• OpenSearch：重要提示：更新到 OpenSearch 1.2.1
• OpenNMS：受 Apache Log4j 漏洞影響的 OpenNMS 產(chǎn)品?
• IBM Cúram?：可能會影響 Cúram Social Program
• IBM WebSphere：受影響，已更新

不受影響：

• Anolis OS：?不受 Log4j 高危安全漏洞影響
• SUSE?：產(chǎn)品均不受影響
• Apache Spark：不受影響
• Curl / Libcurl?：不受影響
• Zabbix?：不受影響
• DBeaver?：Log4j2 漏洞對我們的用戶不危險(xiǎn)
• VideoLAN：核心已移植到 Kotlin ，不用 Log4j
• Cloudflare：Cloudflare 如何安全應(yīng)對 Log4j 2 漏洞
• LastPass：不受影響
• HackerOne：不受影響，能利用漏洞影響 H1 的人可獲得 25000 美金獎勵

影響待定

• 華為：啟動了調(diào)查分析，相關(guān)排查還在持續(xù)進(jìn)行
• 微軟：除了明確涉及 Minecraft，其他的情況仍在調(diào)查
• JetBrains：?YouTrack Standalone、Hub、Upsource 和 Floating 許可證服務(wù)器受影響但已修復(fù)，其余仍在測試

發(fā)布漏洞相關(guān)工具

• 360CERT：發(fā)布Log4j2惡意荷載批量檢測調(diào)查工具
• 騰訊容器安全：發(fā)布開源 Log4j2 漏洞緩解工具

此列表將持續(xù)更新，俺一個人能力有限，歡迎大家在評論區(qū)分享你所了解的公司/組織/開源項(xiàng)目對 Log4shell 漏洞的回應(yīng)，格式為?公司/組織/項(xiàng)目名稱 | 回應(yīng)類別（已更新/修復(fù)/不受影響等）| 回應(yīng)鏈接?。此漏洞影響面太廣，希望大家一起合作，避免更多組織或個人因此受到損失。

往期推薦

1、幾行代碼，擼了個 元宇宙？！（文末送書）

2、神器 Typora 開始收費(fèi)！到底更新了啥？

3、沒有這個傳奇工程師，就沒有今天的Windows

4、欠債3000億，宣布破產(chǎn)！昔日民族品牌，為何總淪為反面教材？

5、桌面版 Linux 為什么打不過 Window？Linus 現(xiàn)身說法

點(diǎn)擊關(guān)注公眾號，閱讀更多精彩內(nèi)容