Apache Log4j 1.x JMSAppender配置代码执行漏洞（CVE-2021-4104）

CVE编号

CVE-2021-4104

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2021-12-16

漏洞描述

Log4j 1.x 没有 Lookups，因此风险较低。使用 Log4j 1.x 的应用程序只有在其配置中使用 JNDI 时才容易受到这种攻击。已针对此漏洞提交了单独的 CVE (CVE-2021-4104)。缓解措施：审核您的日志记录配置以确保它没有配置 JMSAppender。没有 JMSAppender 的 Log4j 1.x 配置不受此漏洞的影响。

解决建议

移除JMSAppender配置（默认没有）。

参考链接
http://www.openwall.com/lists/oss-security/2022/01/18/3
https://access.redhat.com/security/cve/CVE-2021-4104
https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126
https://github.com/TheInterception/Log4J-Simulation-Tool
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0033
https://security.netapp.com/advisory/ntap-20211223-0007/
https://www.auscert.org.au/bulletins/ESB-2021.4259
https://www.cve.org/CVERecord?id=CVE-2021-44228
https://www.cybersecurity-help.cz/vdb/SB2021121507
https://www.kb.cert.org/vuls/id/930724
https://www.oracle.com/security-alerts/cpujan2022.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	log4j	1.2	-
	运行在以下环境
	应用	redhat	codeready_studio	12.0	-
	运行在以下环境
	应用	redhat	integration_camel_k	-	-
	运行在以下环境
	应用	redhat	integration_camel_quarkus	-	-
	运行在以下环境
	应用	redhat	jboss_a-mq	6.0.0	-
	运行在以下环境
	应用	redhat	jboss_a-mq	7	-
	运行在以下环境
	应用	redhat	jboss_a-mq_streaming	-	-
	运行在以下环境
	应用	redhat	jboss_data_grid	7.0.0	-
	运行在以下环境
	应用	redhat	jboss_data_virtualization	6.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	6.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	7.0	-
	运行在以下环境
	应用	redhat	jboss_fuse	6.0.0	-
	运行在以下环境
	应用	redhat	jboss_fuse	7.0.0	-
	运行在以下环境
	应用	redhat	jboss_fuse_service_works	6.0	-
	运行在以下环境
	应用	redhat	jboss_operations_network	3.0	-
	运行在以下环境
	应用	redhat	jboss_web_server	3.0	-
	运行在以下环境
	应用	redhat	openshift_application_runtimes	-	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.6	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.7	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.8	-
	运行在以下环境
	应用	redhat	process_automation	7.0	-
	运行在以下环境
	应用	redhat	single_sign-on	7.0	-
	运行在以下环境
	应用	redhat	software_collections	-	-
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	log4j	*		Up to (excluding) 1.2.17-17.1.al7
	运行在以下环境
	系统	amazon_2	log4j	*		Up to (excluding) 1.2.17-17.amzn2
	运行在以下环境
	系统	amazon_AMI	log4j	*		Up to (excluding) 1.2.17-16.12.amzn1
	运行在以下环境
	系统	centos_7	log4j	*		Up to (excluding) 1.2.17-17.el7_4
	运行在以下环境
	系统	debian_10	log4j	*		Up to (excluding) 1.2.17-8+deb10u2
	运行在以下环境
	系统	debian_11	log4j	*		Up to (excluding) 1.2.17-10+deb11u1
	运行在以下环境
	系统	debian_12	log4j	*		Up to (excluding) 1.2.17-10
	运行在以下环境
	系统	debian_9	log4j	*		Up to (excluding) 1.2.17-7+deb9u2
	运行在以下环境
系统	debian_sid	log4j	*		Up to (excluding) 1.2.17-10
运行在以下环境
系统	opensuse_Leap_15.2	log4j	*		Up to (excluding) 1.2.17-lp152.3.3.2
运行在以下环境
系统	opensuse_Leap_15.3	log4j	*		Up to (excluding) 1.2.17-5.6.1
运行在以下环境
系统	oracle_6	log4j	*		Up to (excluding) 1.2.14-6.4.1.el6_10
运行在以下环境
系统	oracle_7	log4j	*		Up to (excluding) 1.2.17-17.el7_4
运行在以下环境
系统	oracle_8	log4j	*		Up to (excluding) 1.0-5.module+el8+5163+abb6ece5
运行在以下环境
系统	suse_12_SP5	log4j	*		Up to (excluding) 1.2.15-126.6.1
查看完整数据

阿里云评分 7.1

• 攻击路径 远程
• 攻击复杂度 困难
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 POC 已公开
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 服务器失陷
• 全网数量 N/A

CWE-ID 漏洞类型 CWE-502 可信数据的反序列化