Apache Log4j 1.x JMSAppender配置代码执行漏洞（CVE-2021-4104）

admin

0
文章

0
评论

2023-11-30 15:40:32 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 Apache Log4j 1.x JMSAppender配置代码执行漏洞（CVE-2021-4104）

CVE编号

CVE-2021-4104

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2021-12-16

漏洞描述

Log4j 1.x 没有 Lookups，因此风险较低。使用 Log4j 1.x 的应用程序只有在其配置中使用 JNDI 时才容易受到这种攻击。已针对此漏洞提交了单独的 CVE (CVE-2021-4104)。缓解措施：审核您的日志记录配置以确保它没有配置 JMSAppender。没有 JMSAppender 的 Log4j 1.x 配置不受此漏洞的影响。

解决建议

移除JMSAppender配置（默认没有）。

参考链接
http://www.openwall.com/lists/oss-security/2022/01/18/3
https://access.redhat.com/security/cve/CVE-2021-4104
https://github.com/apache/logging-log4j2/pull/608
https://github.com/TheInterception/Log4J-Simulation-Tool
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0033
https://security.gentoo.org/glsa/202209-02
https://security.gentoo.org/glsa/202310-16
https://security.netapp.com/advisory/ntap-20211223-0007/
https://www.auscert.org.au/bulletins/ESB-2021.4259
https://www.cve.org/CVERecord?id=CVE-2021-44228
https://www.cybersecurity-help.cz/vdb/SB2021121507
https://www.kb.cert.org/vuls/id/930724
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	log4j	1.2	-
	运行在以下环境
	应用	redhat	codeready_studio	12.0	-
	运行在以下环境
	应用	redhat	integration_camel_k	-	-
	运行在以下环境
	应用	redhat	integration_camel_quarkus	-	-
	运行在以下环境
	应用	redhat	jboss_a-mq	6.0.0	-
	运行在以下环境
	应用	redhat	jboss_a-mq	7	-
	运行在以下环境
	应用	redhat	jboss_a-mq_streaming	-	-
	运行在以下环境
	应用	redhat	jboss_data_grid	7.0.0	-
	运行在以下环境
	应用	redhat	jboss_data_virtualization	6.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	6.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	7.0	-
	运行在以下环境
	应用	redhat	jboss_fuse	6.0.0	-
	运行在以下环境
	应用	redhat	jboss_fuse	7.0.0	-
	运行在以下环境
	应用	redhat	jboss_fuse_service_works	6.0	-
	运行在以下环境
	应用	redhat	jboss_operations_network	3.0	-
	运行在以下环境
	应用	redhat	jboss_web_server	3.0	-
	运行在以下环境
	应用	redhat	openshift_application_runtimes	-	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.6	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.7	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.8	-
	运行在以下环境
	应用	redhat	process_automation	7.0	-
	运行在以下环境
	应用	redhat	single_sign-on	7.0	-
	运行在以下环境
	应用	redhat	software_collections	-	-
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	log4j	*		Up to (excluding) 1.2.17-17.1.al7
	运行在以下环境
	系统	amazon_2	log4j	*		Up to (excluding) 1.2.17-17.amzn2
	运行在以下环境
	系统	amazon_AMI	log4j	*		Up to (excluding) 1.2.17-16.12.amzn1
	运行在以下环境
	系统	anolis_os_7	log4j	*		Up to (excluding) 1.2.17-18
	运行在以下环境
	系统	anolis_os_8	parfait-examples	*		Up to (excluding) 0.5.4-4
	运行在以下环境
	系统	centos_7	java	*		Up to (excluding) 1.2.17-17.el7_4
	运行在以下环境
	系统	debian_10	apache-log4j1.2	*		Up to (excluding) 1.2.17-8+deb10u2
	运行在以下环境
	系统	debian_11	apache-log4j1.2	*		Up to (excluding) 1.2.17-10+deb11u1
	运行在以下环境
系统	debian_12	apache-log4j1.2	*		Up to (excluding) 1.2.17-11
运行在以下环境
系统	debian_9	apache-log4j1.2	*		Up to (excluding) 1.2.17-7+deb9u2
运行在以下环境
系统	debian_sid	apache-log4j1.2	*		Up to (excluding) 1.2.17-11
运行在以下环境
系统	kylinos_aarch64_V10	log4j	*		Up to (excluding) 1.2.17-18.el7_4.ns7.01
运行在以下环境
系统	kylinos_aarch64_V10SP2	log4j12	*		Up to (excluding) 1.2.17-25.p01.ky10
运行在以下环境
系统	kylinos_x86_64_V10	log4j	*		Up to (excluding) 1.2.17-18.el7_4.ns7.01
运行在以下环境
系统	kylinos_x86_64_V10SP2	log4j12	*		Up to (excluding) 1.2.17-25.p01.ky10
运行在以下环境
系统	opensuse_Leap_15.2	log4j12-javadoc	*		Up to (excluding) 1.2.17-lp152.3.3.2
运行在以下环境
系统	opensuse_Leap_15.3	log4j-manual	*		Up to (excluding) 1.2.17-4.3.1
运行在以下环境
系统	oracle_6	oraclelinux-release	*		Up to (excluding) 1.2.14-6.4.1.el6_10
运行在以下环境
系统	oracle_7	oraclelinux-release	*		Up to (excluding) 1.2.17-17.el7_4
运行在以下环境
系统	oracle_8	oraclelinux-release	*		Up to (excluding) 1.0.1-6.module+el8+5163+abb6ece5
运行在以下环境
系统	redhat_7	log4j	*		Up to (excluding) 1.2.17-17.el7_4
运行在以下环境
系统	suse_12_SP5	log4j	*		Up to (excluding) 1.2.15-126.6.1
运行在以下环境
系统	ubuntu_18.04	apache-log4j1.2	*		Up to (excluding) 1.2.17-8+deb10u1ubuntu0.1
运行在以下环境
系统	ubuntu_20.04	apache-log4j1.2	*		Up to (excluding) 1.2.17-9ubuntu0.1
运行在以下环境
系统	ubuntu_21.04	apache-log4j1.2	*		Up to (excluding) 1.2.17-10ubuntu0.21.04.1
运行在以下环境
系统	ubuntu_21.10	apache-log4j1.2	*		Up to (excluding) 1.2.17-10ubuntu0.21.10.1
运行在以下环境
系统	unionos_d	apache-log4j1.2	*		Up to (excluding) 1.2.17.2-deepin1