华域联盟 漏洞资讯 【漏洞预警】CNNVD关于Apache Log4j 多个安全漏洞的预警

【漏洞预警】CNNVD关于Apache Log4j 多个安全漏洞的预警

近日,Apache官方发布了多个安全漏洞的公告,包括Apache log4j 代码问题漏洞(CNNVD-202201-1425、CVE-2022-23307)、Apache Log4j SQL注入漏洞(CNNVD-202201-1421、CVE-2022-23305)、Apache log4j 代码问题漏洞(CNNVD-202201-1420、CVE-2022-23302)等。成功利用上述漏洞的攻击者可以在目标系统上执行恶意代码。Apache Log4j 1.x、Apache Chainsaw 2.1.0之前版本均受漏洞影响。目前,Apache官方已经发布了新版本修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、漏洞介绍

Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。

1、Apache log4j 代码问题漏洞(CNNVD-202201-1425、CVE-2022-23307):

漏洞源于程序处理序列化数据时对输入验证不足导致,攻击者通过将特制数据传递给应用程序,从而执行任意代码。

2、Apache Log4j SQL注入漏洞(CNNVD-202201-1421、CVE-2022-23305):

漏洞源于程序中的JDBCAppender对用户提供的数据过滤不严格导致,攻击者可利用漏洞向目标系统发送特制请求,进而在应用程序数据库中执行任意SQL命令。

3、Apache log4j 代码问题漏洞(CNNVD-202201-1420、CVE-2022-23302):

漏洞源于程序处理序列化数据时对输入验证不足导致,攻击者可通过提供一个 TopicConnection-FactoryBindingName配置,使程序中的JMSSink执行JNDI请求,进而执行任意代码。

二、漏洞影响

成功利用上述漏洞的攻击者可以在目标系统上执行恶意代码。Apache Log4j 1.x、Apache Chainsaw 2.1.0之前版本均受漏洞影响。

三、修复建议

目前,Apache官方已经发布了新版本修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。Apache官方补丁下载地址:

https://logging.apache.org/chainsaw/2.x/download.html

本通报由CNNVD技术支撑单位——北京华云安信息技术有限公司、北京国舜科技股份有限公司、杰润鸿预远(北京)科技有限公司、北京数字观星科技有限公司、新华三技术有限公司、北京鸿腾智能科技有限公司、亚信科技(成都)有限公司、深信服科技股份有限公司、北京神州绿盟科技有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn

本文由 华域联盟 原创撰写:华域联盟 » 【漏洞预警】CNNVD关于Apache Log4j 多个安全漏洞的预警

转载请保留出处和原文链接:https://www.cnhackhy.com/157246.htm

本文来自网络,不代表华域联盟立场,转载请注明出处。

作者: sterben

OpenSSH和OpenSSL升级之路(可升级openssh-8.6p1,应对CVE-2021-28041漏洞)

发表回复

联系我们

联系我们

2551209778

在线咨询: QQ交谈

邮箱: admin@cnhackhy.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部