• 设为首页
  • 加入收藏

安全通报

首页 > 安全通报 > 安全风险预警 > 正文

安全风险预警

网络安全预警通报 第二十六期(2021.12.20)

来源:        发布时间:2021-12-20        点击量:

 


 网络安全预警通报

2021年第10期   (总第26期)

西安交通大学网络信息中心    2021年12月20日

_____________________________________________

【预警类型】高危预警

预警内容

Apache Log4j特定条件下可致拒绝服务的漏洞( CVE- 2021-45105 )风险通告

安全公告编号: CVE- 2021-45105

一、漏洞概述

Apache Log4j2版本2.0-alpha12.16.0没有防止自引用查找的不受控制的递归。当日志配置使用带有上下文查找的非默认模式布局(例如, $${ctx:loginld}) 时,控制线程上

下文映射(MDC)输入数据的攻击者可以制作包含递归查找的恶意输入数据,导致StackOverflowError将终止进程,这也称为DOS (拒绝服务)攻击。

专家建议受影响的用户升级到安全版本。

Apache Log4j2-个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。

二、受影响的版本

2.0-beta92.16.0的所有版本

三、安全版本

Log4j 2.17.0 (Java 8)

四、漏洞缓解措施

Log4j 1.x缓解

Log4j 1.x不受此漏洞影响。

Log4j 2.x缓解

实施以下缓解技术之一:

Java8 (或更高版本)用户应升级到2.17.0版。或者,这可以在配置中缓解:在日志记录配置的PatternLayout中,用线程上下文映射模式(%X %mdc 9%MDC)替换${tx:loginld}$${tx:loginld} 等上下文查找。

否则,在配置中,删除对上下文查找的引用,如${ctx:loginld}$${tx:loginld},它们源 自应用程序外部的源,如HTTP标头或用户输入。

请注意,只有log4j-core JAR文件受此漏洞影响。仅使用log4j-api JAR文件而不使用log4j-core JAR文件的应用程序不受此漏洞的影响。

另请注意,Apache Log4j是唯一受此 漏洞影响的日志服务子项目。Log4net Log4cxx 等其他项目不受此影响。

参考链接:

https://logging.apache.org/log4j/2.x/security.html 

关闭

版权所有:西安交通大学网络安全专题网    电话:82664996
地址:陕西省西安市咸宁西路28号西安交通大学 主楼1703    邮编:710049