【安全风险通告】Apache Log4j拒绝服务漏洞安全风险通告

时间：2021-12-19 作者：奇安信CERT

分享到：

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

近日，奇安信CERT监测到Apache官方发布了ApacheLog4j拒绝服务攻击漏洞（CVE-2021-45105），此漏洞需要在非默认配置下才能触发。当系统日志配置使用带有ContextLookups的非默认PatternLayout（例如$${ctx:loginId}）时，攻击者可构造包含递归查找的恶意输入数据，成功利用此漏洞将触发无限循环，导致系统崩溃。

经奇安信CERT研判，该漏洞利用条件严苛，影响有限，用户不必惊慌，目前官方已有安全版本，鉴于Log4j在全球范围内部署量较大，建议用户使用处置建议中的缓解措施或升级到最新版本。

当前漏洞状态

漏洞描述

ApacheLog4j是Apache的一个开源项目，Apachelog4j2是Log4j的升级版本，我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等，通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。

ApacheLog4j1.x不受此漏洞影响。只有log4j-core依赖受此漏洞影响，仅使用log4j-api而不使用log4j-core依赖的应用程序不受此漏洞影响。ApacheLog4j是唯一受此漏洞影响的日志服务子项目，Log4net和Log4cxx等其他项目不受影响。

CVE-2021-45105ApacheLog4j拒绝服务漏洞

奇安信CERT第一时间分析并复现了ApacheLog4j拒绝服务漏洞（CVE-2021-45105），复现截图如下:

【安全风险通告】Apache Log4j拒绝服务漏洞安全风险通告

风险等级

奇安信CERT风险评级为：高危

风险等级：蓝色（一般事件）

影响范围

2.0-beta9

处置建议

1.版本升级

目前ApacheLog4j官方已有可更新版本，用户可升级至安全版本。

Java8或更高版本用户可以升级至ApacheLog4j2.17.0版本：

https://logging.apache.org/log4j/2.x/download.html

2.缓解措施

若无法及时升级至安全版本，可采用以下缓解措施来缓解此漏洞：

（1）在日志配置的PatternLayout中，用ThreadContextMap模式（%X、%mdc或%MDC）替换${ctx:loginId}或$${ctx:loginId}等ContextLookups。

（2）在系统接收应用程序外部数据（如HTTPheaders或用户输入）的场景中，在配置中删除对ContextLookups的引用（如${ctx:loginId}或$${ctx:loginId}）。

产品解决方案

奇安信开源卫士已更新

奇安信开源卫士20211218.923版本已支持对ApacheLog4j2拒绝服务漏洞-CVE-2021-45105的检测。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.1219.13175或以上版本。规则ID及规则名称：0x10020E37，ApacheLog4j2拒绝服务漏洞(CVE-2021-45105)。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

参考资料

[1]https://github.com/apache/logging-log4j2

[2]https://logging.apache.org/log4j/2.x/security.html

时间线

2021年12月18日，奇安信CERT监测到官方发布ApacheLog4j拒绝服务漏洞（CVE-2021-45105），奇安信CERT第一时间分析复现了此漏洞。

2021年12月19日凌晨，奇安信CERT发布了ApacheLog4j拒绝服务漏洞（CVE-2021-45105）安全通告。

到奇安信NOX-安全监测平台查询更多漏洞详情

【安全风险通告】Apache Log4j拒绝服务漏洞安全风险通告

奇安信CERT长期招募安全研究员

北京网络安全大会

天守终端安全管理系统

天守终端安全管理系统

企业动态