Apache Log4j 1.x 多个漏洞

critical Nessus 插件 ID 156860

简介

远程主机上运行的日志记录库存在多个漏洞。

描述

根据其自我报告的版本号,远程主机上安装的 Apache Log4j 1.x 版本不再受支持。Log4j 在 2016 年之前已终止生命周期。此外,Log4j 1.x 会受到多个漏洞影响,包括:

- Log4j 中有一个 SocketServer,其会接受序列化日志事件,并在未验证对象是否受到允许的情况下将其反序列化。这就为攻击者提供了一个可以遭到恶意利用的攻击载体。(CVE-2019-17571)

- 未正确验证 Apache Log4j SMTP 附加程序中与主机不匹配的证书。这可允许中间人发动拦截 SMTPS 连接攻击,进而泄露通过该附加程序发送的任何日志消息。(CVE-2020-9488)

- JMSSink 以不受保护的方式使用 JNDI,这样一来,如果将使用 JMSSink 的任何应用程序配置为引用不受信任的站点或者如果攻击者能够访问所引用的站点,则该应用程序将很容易受到攻击。
(CVE-2022-23302)

缺少支持意味着供应商将不再发布该产品的任何新安全修补程序。因此,它可能包含某些安全漏洞。

解决方案

升级到当前受支持的 Apache Log4j 版本。

强烈建议升级到 Apache Log4j 最新版本,因为中间版本/补丁中存在已知的高危漏洞,供应商经常会在发现有关 Log4j 的新研究和新知识时更新其公告。请参阅 https://logging.apache.org/log4j/2.x/security.html 查看最新版本。

另见

https://logging.apache.org/log4j/1.2/

插件详情

严重性: Critical

ID: 156860

文件名: apache_log4j_1_x_multiple_vulnerabilities.nasl

版本: 1.12

类型: local

代理: windows, macosx, unix

系列: Misc.

发布时间: 2022/1/19

最近更新时间: 2024/6/13

配置: 启用全面检查

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 9

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 分数来源: CVE-2022-23307

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS 分数来源: CVE-2022-23305

漏洞信息

CPE: cpe:/a:apache:log4j

必需的 KB 项: installed_sw/Apache Log4j

可利用: true

易利用性: Exploits are available

漏洞发布日期: 2019/12/20

参考资料信息

CVE: CVE-2019-17571, CVE-2020-9488, CVE-2022-23302, CVE-2022-23305, CVE-2022-23307, CVE-2023-26464

IAVA: 2021-A-0573