【误差通告】Apache Log4j2拒绝效劳误差（CVE-2021-45046）-鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Apache Log4j2拒绝效劳误差（CVE-2021-45046）

宣布时间 2021-12-16

0x00 误差概述

CVE ID	CVE-2021-45046	时间	2021-12-14
类型	Dos	等级	中危
远程使用	是	影响规模
攻击重漂后	高	可用性	低
用户交互	无	所需权限	无
PoC/EXP		在野使用

0x01 误差详情

Apache Log4j2是一个开源的Java日志框架，，，，，，，被普遍地应用在中心件、开发框架与Web应用中。。。

部分时间线

11月24日：阿里云清静团队向Apache官方报告了Apache Log4j2远程代码执行误差CVE-2021-44228；；；；

12月7日：Apache Log4j2官方宣布log4j2-2.15.0-rc1并第一次修复CVE-2021-44228误差；；；；

12月9日：鉴黑担保网清静应急响应中心监测到Apache Log4j2 远程代码执行误差CVE-2021-44228（CVSS评分10.0），，，，，，，各产品线开展应急响应处置惩罚。。。

12月14日：鉴黑担保网清静应急响应中心监测到Apache Log4j 1.2远程代码执行误差CVE-2021-4104（CVSS评分6.6）。。。

12月15日：鉴黑担保网清静应急响应中心监测到Apache Log4j2拒绝效劳误差CVE-2021-45046（CVSS评分3.7）。。。

Apache Log4j2官方修复计划

12月7日：Apache Log4j2官方宣布log4j2-2.15.0-rc1并第一次修复CVE-2021-44228；；；；

12月10日：log4j2-2.15.0-rc1保存Bypass，，，，，，，Apache Log4j2官方宣布log4j2-2.15.0-rc2修复bypass误差。。。

12月11日：Apache Log4j2官方宣布了2.15.0 版本，，，，，，，以修复CVE-2021-44228。。。虽然 2.15.0 版本解决了Message Lookups功效和JNDI 会见方法的问题，，，，，，，但 Log4j团队以为默认启用 JNDI 保存清静危害，，，，，，，且2.15.0版本保存CVE-2021-45046误差。。。

12月13日：Apache Log4j2官方宣布了Log4j 2.16.0版本（Java 8或更高版本），，，，，，，该版本删除了Message Lookups功效并默认禁用JNDI功效，，，，，，，并从该版本最先默认禁用JNDI功效，，，，，，，但可以通过将log4j2.enableJndi设置为 true 以启用 JNDI。。。别的，，，，，，，Log4j现在将协议默认限制为仅java、ldap和ldaps，，，，，，，并将ldap协议限制为只能会见Java原始工具。。。当田主机以外的主机需要被明确允许。。。

12月15日：Apache Log4j2官方宣布了Apache Log4j 2.12.2版本，，，，，，，该版本修复了CVE-2021-44228和CVE-2021-45046，，，，，，，适用于仍在使用Java 7的用户。。。

供应链影响

凭证非权威统计，，，，，，，直接和间接引用Log4j的开源组件预计凌驾17万个。。。现在已知的受影响的应用和组件包括：Apache Solr、Apache Struts2、Apache Flink、Apache Druid、Apache Log4j SLF4J Binding、spring-boot-strater-log4j2、Hadoop Hive、ElasticSearch、Jedis、Logging、Logstash以及VMware多个产品等。。。

由于该误差的影响规模是全球性的，，，，，，，外洋各大着名企业和组织的产品均受影响，，，，，，，如Amazon、Apache、Atlassian、Cisco、Debian、Docker、Fortinet、Google、IBM、英特尔、Juniper Networ、微软、Oracle、Red Hat、Ubuntu和VMware等。。。

CVE-2021-44228误差的使用难度低，，，，，，，默认设置即可远程使用，，，，，，，且PoC/EXP已在互联网上果真，，，，，，，现已被网络犯法团伙普遍使用。。。

误差影响规模

CVE-2021-4104：Apache Log4j 1.2

CVE-2021-44228：Apache Log4j 2.0-beta9 - 2.12.1 、Apache Log4j 2.13.0 - 2.15.0-rc1

CVE-2021-45046：Apache Log4j 2.0-beta9 - 2.12.1、Apache Log4j 2.13.0-2.15.0

0x02 处置惩罚建议

1.通用修复计划

已升级到 Log4j 2.15.0 版本的用户建议升级到 Log4j 2.16.0 以阻止针对CVE-2021-44228 和 CVE-2021-45046误差的攻击 。。。

CVE-2021-4104：

Apache Log4j 1.2中保存RCE误差（CVE-2021-4104，，，，，，，仅设置为使用JMSAppender时保存，，，，，，，非默认），，，，，，，建议相关用户升级到Log4j 2的最新版本。。。

缓解步伐：

l 注释或删除 Log4j 设置中的 JMSAppender。。。

l 使用此下令从log4j jar包中删除 JMSAppender 类文件：

l zip -q -d log4j-*.jar org/apache/log4j/net/JMSAppender.class

参考链接：

http://mail-archives.apache.org/mod_mbox/www-announce/202112.mbox/%3C1a5a0193-71c4-0613-ca92-f50f801543d9@apache.org%3E

CVE-2021-44228：

Log4j 1.x：不受CVE-2021-44228误差影响。。。

Log4j 2.x：

l 受影响用户应升级到Apache Log4j 2.15.0-rc2及以上版本，，，，，，，建议升级到 2.16.0 版本（Java 8或更高版本）。。。

l 使用Java 7的用户应升级到Apache Log4j 2.12.2版本。。。

l 删除 JndiLookup 类：zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

参考链接：

https://logging.apache.org/log4j/2.x/index.html

CVE-2021-45046：

Log4j 1.x：不受CVE-2021-45046误差影响。。。

Log4j 2.x：

l Java 8或更高版本应升级到 Apache Log4j 2.16.0 版本。。。

l 使用Java 7 的用户应升级到Apache Log4j 2.12.2版本。。。

l 删除 JndiLookup 类： zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

参考链接：

http://mail-archives.apache.org/mod_mbox/www-announce/202112.mbox/%3C13e07d4e-ceb6-e510-be98-7d2ee8fa0a85@apache.org%3E

下载链接：

https://logging.apache.org/log4j/2.x/download.html

注：只有log4j-core JAR文件受CVE-2021-44228和CVE-2021-45046误差的影响。。。只使用log4j-api JAR文件而不使用log4j-core JAR文件的应用程序不会受到影响。。。

2.通用暂时计划（CVE-2021-44228）

l 建议JDK使用6u211、7u201、8u191、11.0.1及以上的版本；；；；

l 关于>=2.10版本：

添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true；；；；

在log4j2.component.properties设置文件中增添如下内容：log4j2.formatMsgNoLookups=true；；；；

系统情形变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS设置为true；；；；

l 关于2.7-2.14.1版本：

可以修改所有PatternLayout模式，，，，，，，将新闻转换器指定为%m{nolookups}，，，，，，，而不但仅是%m。。。

l 关于2.0-beta9-2.7版本：

唯一的缓解步伐是删除jndiookup类：zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

l 榨取装置log4j的效劳器会见外网，，，，，，，并在界线对dnslog相关域名会见举行检测。。。

0x03 参考链接

https://github.com/apache/logging-log4j2

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

https://mp.weixin.qq.com/s/J5H9aZVhwQaVn3LvKi2Kqw

https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44228

https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

0x04 更新版本

版本	日期	修改内容
V1.0	2021-12-9	首次宣布
V2.0	2021-12-10	修改细节
V3.0	2021-12-10	修改bug
V4.0	2021-12-12	新增CVE－ID及部分内容、修改缓解步伐。。。
V5.0	2021-12-14	修改处置惩罚建议
V6.0	2021-12-16	修改细节

0x05 关于鉴黑担保网

鉴黑担保网简介

鉴黑担保网公司建设于1996年，，，，，，，并于2010年6月23日在深交所中小板正式挂牌上市，，，，，，，是海内极具实力的、拥有完全自主知识产权的网络清静产品、可信清静治理平台、清静效劳与解决计划的综合提供商。。。

公司总部位于北京市中关村软件园，，，，，，，在天下各省、市、自治区设有分支机构，，，，，，，拥有笼罩天下的渠道系统和手艺支持中心，，，，，，，并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。。。

多年来，，，，，，，鉴黑担保网致力于提供具有国际竞争力的自主立异的清静产品和最佳实践效劳，，，，，，，资助客户周全提升其IT基础设施的清静性和生产效能，，，，，，，为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。。。

关于鉴黑担保网

鉴黑担保网清静应急响应中心主要针对主要清静误差的预警、跟踪和分享全球最新的威胁情报和清静报告。。。

关注以下公众号，，，，，，，获取全球最新清静资讯：

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究