APACHELOG4J反序列化与SQL注入漏洞(CVE-2022-23302/CVE-2022-23305/CVE-2022-23307)通告

1月19日,绿盟科技CERT发现Apache针对ApacheLog4j1.x版本中的三个严重漏洞发布安全公告:CVE-2022-23302、CVE-2022-23305、CVE-2022-23307。
这些漏洞导致官方停止支持Log4j1.x,强烈建议用户尽快采取措施进行防护。
CVE-2022-23302是Apachelog4jJMSSink中的反序列化代码执行漏洞。
如果攻击者可以操纵Log4j配置或配置对可访问的LDAP服务的引用,则可以利用JMSSink的反序列化功能来执行恶意JNDI请求,类似于CVE-2021-4104,但默认配置不受影响。
用户应检查JMSSink配置并可能禁用或删除它以防止风险。
CVE-2022-23305包含JDBCAppender中的SQL注入漏洞。
Log4j1.2.x版本允许攻击者构造特殊字符串并将其插入到SQL参数中,这可能导致非法查询。
为了避免这种情况,请从配置中删除JDBCAppender的使用。
Log4jChainsaw日志查看器(CVE-2022-23307,以前称为CVE-2020-9493)存在反序列化代码执行漏洞,该漏洞已在Chainsaw2.1.0中修复。
用户应更新到最新版本的ApacheChainsaw或暂时禁用Chainsaw的序列化日志事件读取功能并使用其他接收器(例如XMLSocketReceiver)。
鉴于Log4j1.x停止维护以及存在安全风险,强烈建议升级到Log4j2官方安全版本,例如:例如2.17.1支持Java8及以上版本,2.12.4支持Java7,2.3.2支持Java6。
官方提供了详细的迁移指南和下载链接。
请注意,本公告不构成任何保证或义务,用户自行承担传播或使用该信息的后果。
绿盟科技保留对本公告的修改和解释的权利。
所有转载必须保持完整,不得用于商业目的。

如何看待apachetomcat被发现存有“文件包含漏洞”(cnvd

ApacheTomcat被发现存在文件包含漏洞,并已对该问题进行了分析。
该组件是AJP,ApacheJServProtocol,其最新版本为1.3。
AJP协议常用于使用HTTPD作为纯WebServer,通过二进制协议与Tomcat通信,转发和处理API请求。
但考虑到目前国内的情况,大部分环境已经切换到Nginx,只有少数环境继续使用HTTPD,因此使用AJP协议的频率相对较低。
如果确实需要使用AJP,可以通过检查Tomcat配置中是否存在AJPConnector端口8009并进行注释来解决这个问题。
要验证Tomcat是否启用了AJP,可以检查启动日志并搜索关键字“AjpNioProtocol”。
此外,还有一个文档详细介绍了如何启用AJP功能。
对于该漏洞,关键是确保系统上未启用AJP协议或相关配置得到妥善管理,以避免潜在的安全风险。
对于使用SpringBoot内置Tomcat的系统,默认不启用AJP,所以不需要额外的操作。

[漏洞复现]apache-log4j_2.x-2.15.0-rc2_rce_cve-2021-44228

最近,CNVD平台报告了ApacheLog4j2中的一个严重安全漏洞(CVE-2021-44228),该漏洞与远程代码执行(RCE)风险相关。
攻击者可以利用该漏洞在未经身份验证的情况下在系统上运行恶意代码,从而侵犯服务器权限。
该漏洞尤为重要,因为Log4j2是Java日志组件的升级版本,广泛用于登录业务系统。
2021年11月24日,阿里云安全团队发现该漏洞并向Apache官方报告。
该漏洞是由Log4j2处理日志时的JNDI注入缺陷引起的。
攻击者配置特定的恶意数据,导致Log4j2解析错误,触发代码执行,对服务器构成威胁。
CNVD将该漏洞评级为“高风险”,并强调其严重性不容忽视。
由于该漏洞的保密性,验证其存在需要使用DNSlog平台和DNS解析。
常见的验证方式有抓包、修改数据包,观察DNSLog平台收到验证记录。
更深层次的利用可能允许攻击者配置LDAP或RMI服务器并发送额外的请求以实现深度控制目标。
为了避免损失,Apache官方已发布补丁修复该漏洞。
CNVD建议用户立即检查自己的系统,并尽快升级到最新版本(github.com/apache/loggi...)以解决漏洞。
同时,使用ApacheStruts2、ApacheSolr、ApacheDruid、ApacheFlink等应用组件的网站运营者必须加强自查,发现漏洞后立即采取恢复措施。