NetGain关于Apache Log4j2 漏洞(CVE-2021-44228)及CVE-2021-45046)的修复建议

NetGain关于Apache Log4j2 漏洞(CVE-2021-44228)及CVE-2021-45046)的修复建议
2021-12-16 NetGain Systems
标签 NetGain Systems, News

一、漏洞描述

Apache Log4j 2 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的 Java 日志框架。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限。

2021年12月15日最新更新

12月15日,官方发布通告,披露Apache Log4j的DoS漏洞(CVE-2021-45046),当log4j配置使用非默认模式布局和上下文查找(例如$${ctx:loginId})或线程上下文映射模式(%X、%mdc或%MDC)时,使用JNDI查找模式制作恶意输入数据从而导致拒绝服务(DoS) 攻击。Apache Log4j 2.15.0版本中针对CVE-2021-44228的漏洞修复方式不完善,在特定配置时受此漏洞影响。

二、影响分析

本次受到影响的Log4J版本范围为:2.0-beta9 <= Apache Log4j <= 2.12.1 以及2.13.0<= Apache Log4j <= 2.15.0-rc2(2.15.0稳定版)

NetGain在12月16日分析了ApacheLog4J(在许多基于java的应用程序中使用的日志记录工具)远程代码执行漏洞(CVE-2021-44228)以及DoS漏洞(CVE-2021-45046)及其影响,发布了该漏洞对于NetGain产品的影响范围及处置方法。

三、受影响产品

NetGain EM, CV, emedge v11版本低于11.2.126

四、处置方法

为了处置并降低该漏洞的风险,NetGain提供以下处置方法:

建议使用NetGain EM(Enterprise Manager)、CV(Cloud Vista)或emedge v11的客户更新至NetGain EM/CV/emedge v11.2.126(将在12月17日凌晨发布)及后续版本,NetGain把Log4j库升级到2.16.0版本修复了此漏洞。

  • 对于无法立即将其NetGain EM/CV/emedge更新为v11.2.126的客户,可首先确认当前使用的Java版本,对于使用Java8及以上的用户,可使用以下链接中的补丁进行更新:http://www.netgain-systems.com.cn/download/patch/log4j_fix_dec16.tar.gz
 
  • 对于使用Java7的用户,请等待我们的更新补丁,将log4j升级到2.12.2

 

  • 对于其他客户,可以通过移除JndiLookup类来缓解此漏洞:zip-q-dlog4j-core-*.jarorg/apache/logging/log4j/core/lookup/JndiLookup.class

NetGain建议使用早期版本NetGain EM/CV/emedge(v11之前)的客户联系我们。

访问我们的网站:https://www.netgain-systems.com.cn/

联系我们的邮箱: info@netgain-systems.com.cn

五、相关链接

MitreCVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228

MitreCVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-45046

国家信息安全漏洞共享平台CNVD
https://www.cnvd.org.cn/webinfo/show/7116
Log4j2官方发布

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.16.0