【漏洞通告】Apache Log4j2拒绝服务漏洞（CVE-2021-45046）-抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静通告

【漏洞通告】Apache Log4j2拒绝服务漏洞（CVE-2021-45046）

宣布时间 2021-12-16

0x00 漏洞概述

CVE ID	CVE-2021-45046	时间	2021-12-14
类型	Dos	等级	中危
远程利用	是	影响范围
攻击庞大度	高	可用性	低
用户交互	无	所需权限	无
PoC/EXP		在野利用

0x01 漏洞详情

Apache Log4j2是一个开源的Java日志框架，被广泛地应用在中间件、开发框架与Web应用中。

部门时间线

11月24日：阿里云宁静团队向Apache官方陈诉了Apache Log4j2远程代码执行漏洞CVE-2021-44228；

12月7日：Apache Log4j2官方宣布log4j2-2.15.0-rc1并第一次修复CVE-2021-44228漏洞；

12月9日：抖圈为赌而生宁静应急响应中心监测到Apache Log4j2 远程代码执行漏洞CVE-2021-44228（CVSS评分10.0），各产物线开展应急响应处置。

12月14日：抖圈为赌而生宁静应急响应中心监测到Apache Log4j 1.2远程代码执行漏洞CVE-2021-4104（CVSS评分6.6）。

12月15日：抖圈为赌而生宁静应急响应中心监测到Apache Log4j2拒绝服务漏洞CVE-2021-45046（CVSS评分3.7）。

Apache Log4j2官方修复方案

12月7日：Apache Log4j2官方宣布log4j2-2.15.0-rc1并第一次修复CVE-2021-44228；

12月10日：log4j2-2.15.0-rc1存在Bypass，Apache Log4j2官方宣布log4j2-2.15.0-rc2修复bypass漏洞。

12月11日：Apache Log4j2官方宣布了2.15.0 版本，以修复CVE-2021-44228。虽然 2.15.0 版本解决了Message Lookups功效和JNDI 访问方式的问题，但 Log4j团队认为默认启用 JNDI 存在宁静风险，且2.15.0版本存在CVE-2021-45046漏洞。

12月13日：Apache Log4j2官方宣布了Log4j 2.16.0版本（Java 8或更高版本），该版本删除了Message Lookups功效并默认禁用JNDI功效，并从该版本开始默认禁用JNDI功效，但可以通过将log4j2.enableJndi设置为 true 以启用 JNDI。此外，Log4j现在将协议默认限制为仅java、ldap和ldaps，并将ldap协议限制为只能访问Java原始工具。当田主机以外的主机需要被明确允许。

12月15日：Apache Log4j2官方宣布了Apache Log4j 2.12.2版本，该版本修复了CVE-2021-44228和CVE-2021-45046，适用于仍在使用Java 7的用户。

供应链影响

凭据非权威统计，直接和间接引用Log4j的开源组件预计凌驾17万个。目前已知的受影响的应用和组件包罗：Apache Solr、Apache Struts2、Apache Flink、Apache Druid、Apache Log4j SLF4J Binding、spring-boot-strater-log4j2、Hadoop Hive、ElasticSearch、Jedis、Logging、Logstash以及VMware多个产物等。

由于该漏洞的影响范围是全球性的，国外各大知名企业和组织的产物均受影响，如Amazon、Apache、Atlassian、Cisco、Debian、Docker、Fortinet、Google、IBM、英特尔、Juniper Networ、微软、Oracle、Red Hat、Ubuntu和VMware等。

CVE-2021-44228漏洞的利用难度低，默认配置即可远程利用，且PoC/EXP已在互联网上果然，现已被网络犯罪团伙广泛利用。

漏洞影响范围

CVE-2021-4104：Apache Log4j 1.2

CVE-2021-44228：Apache Log4j 2.0-beta9 - 2.12.1 、Apache Log4j 2.13.0 - 2.15.0-rc1

CVE-2021-45046：Apache Log4j 2.0-beta9 - 2.12.1、Apache Log4j 2.13.0-2.15.0

0x02 处置建议

1.通用修复方案

已升级到 Log4j 2.15.0 版本的用户建议升级到 Log4j 2.16.0 以制止针对CVE-2021-44228 和 CVE-2021-45046漏洞的攻击 。

CVE-2021-4104：

Apache Log4j 1.2中存在RCE漏洞（CVE-2021-4104，仅配置为使用JMSAppender时存在，非默认），建议相关用户升级到Log4j 2的最新版本。

缓解措施：

l 注释或删除 Log4j 配置中的 JMSAppender。

l 使用此命令从log4j jar包中删除 JMSAppender 类文件：

l zip -q -d log4j-*.jar org/apache/log4j/net/JMSAppender.class

参考链接：

http://mail-archives.apache.org/mod_mbox/www-announce/202112.mbox/%3C1a5a0193-71c4-0613-ca92-f50f801543d9@apache.org%3E

CVE-2021-44228：

Log4j 1.x：不受CVE-2021-44228漏洞影响。

Log4j 2.x：

l 受影响用户应升级到Apache Log4j 2.15.0-rc2及以上版本，建议升级到 2.16.0 版本（Java 8或更高版本）。

l 使用Java 7的用户应升级到Apache Log4j 2.12.2版本。

l 删除 JndiLookup 类：zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

参考链接：

https://logging.apache.org/log4j/2.x/index.html

CVE-2021-45046：

Log4j 1.x：不受CVE-2021-45046漏洞影响。

Log4j 2.x：

l Java 8或更高版本应升级到 Apache Log4j 2.16.0 版本。

l 使用Java 7 的用户应升级到Apache Log4j 2.12.2版本。

l 删除 JndiLookup 类： zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

参考链接：

http://mail-archives.apache.org/mod_mbox/www-announce/202112.mbox/%3C13e07d4e-ceb6-e510-be98-7d2ee8fa0a85@apache.org%3E

下载链接：

https://logging.apache.org/log4j/2.x/download.html

注：只有log4j-core JAR文件受CVE-2021-44228和CVE-2021-45046漏洞的影响。只使用log4j-api JAR文件而不使用log4j-core JAR文件的应用法式不会受到影响。

2.通用临时方案（CVE-2021-44228）

l 建议JDK使用6u211、7u201、8u191、11.0.1及以上的版本；

l 对于>=2.10版本：

添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true；

在log4j2.component.properties配置文件中增加如下内容：log4j2.formatMsgNoLookups=true；

系统环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS设置为true；

l 对于2.7-2.14.1版本：

可以修改所有PatternLayout模式，将消息转换器指定为%m{nolookups}，而不仅仅是%m。

l 对于2.0-beta9-2.7版本：

唯一的缓解措施是删除jndiookup类：zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

l 禁止安装log4j的服务器访问外网，并在界限对dnslog相关域名访问进行检测。

0x03 参考链接

https://github.com/apache/logging-log4j2

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

https://mp.weixin.qq.com/s/J5H9aZVhwQaVn3LvKi2Kqw

https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44228

https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

0x04 更新版本

版本	日期	修改内容
V1.0	2021-12-9	首次宣布
V2.0	2021-12-10	修改细节
V3.0	2021-12-10	修改bug
V4.0	2021-12-12	新增CVE－ID及部门内容、修改缓解措施。
V5.0	2021-12-14	修改处置建议
V6.0	2021-12-16	修改细节

0x05 关于抖圈为赌而生

抖圈为赌而生简介

抖圈为赌而生公司建立于1996年，并于2010年6月23日在深交所中小板正式挂牌上市，是国内极具实力的、拥有完全自主知识产权的网络宁静产物、可信宁静管理平台、宁静服务与解决方案的综合提供商。

公司总部位于北京市中关村软件园，在全国各省、市、自治区设有分支机构，拥有笼罩全国的渠道体系和技术支持中心，并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。

多年来，抖圈为赌而生致力于提供具有国际竞争力的自主创新的宁静产物和最佳实践服务，资助客户全面提升其IT基础设施的宁静性和生产效能，为打造和提升国际化的民族信息宁静工业领军品牌而不懈努力。

关于抖圈为赌而生

抖圈为赌而生宁静应急响应中心主要针对重要宁静漏洞的预警、跟踪和分享全球最新的威胁情报和宁静陈诉。

关注以下公众号，获取全球最新宁静资讯：

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

宁静研究