发布编号:TACERT-ANA-2022021609021515
发布时间:2022-02-16 09:05:15
事故类型:ANA-漏洞预警
发现时间:2022-02-16 02:36:15
影响等级:中
[主旨说明:]
【漏洞预警】[更新检测与修补说明]Apache Log4j存在Log4Shell安全漏洞(CVE-2021-44228),允许攻击者远端执行任意程式码,请尽速确认并进行更新
[内容说明:]
转发 国家资安资讯分享与分析中心 NISAC-ANA-202202-0704
Apache Log4j是一个Java日志记录工具,研究人员发现Log4j存在安全漏洞(CVE-2021-44228),攻击者可借由发送特制Log讯息,利用漏洞进而远端执行任意程式码。
情资分享等级: WHITE(情资内容为可公开揭露之资讯)
[影响平台:]
(1)Apache Log4j 2.0-beta9至2.14.1(含)版本
(2)漏洞检测方式与相关技术细节详见附件说明
附件-行政院国家资通安全会报技术服务中心
Log4Shell(CVE-2021-44228)漏洞资讯与修补方式说明连结:https://cert.tanet.edu.tw/pdf/log4shell.pdf
[建议措施:]
1.目前Apache Log4j官方网页已针对此漏洞释出更新程式,请各机关联络设备维护厂商进行版本确认并更新,其中Java 8环境请更新至Log4j 2.17.0或之后版本、Java 7环境请更新至Log4j 2.12.3或之后版本、Java 6环境请更新至Log4j 2.3.1或之后版本:https://logging.apache.org/log4j/2.x/security.html
2.漏洞修补前,亦可透过以下步骤停用JNDI Lookup功能,以缓解此漏洞
(1)针对log4j版本>=2.10的系统
A.请设定属性「log4j2.formatMsgNoLookups=true」。
B.请设定环境变量「LOG4J_FORMAT_MSG_NO_LOOKUPS=true」。
(2)针对log4j版本为2.0-beta9到2.100的系统
请自类别路径(class path)中移除JndiLookup.class。如执行下列指令,以自log4j-core中移除该类别:「zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class」。
3.透过WAF对相关恶意语法进行过滤及阻挡
使用对外防护设备针对JNDI之相关恶意攻击行为设定规则进行阻挡,例如”$(jndi:ldap://”。
4.评估于Java服务器增加以下设定以防止下载与执行可能具风险之恶意Java Class将com.sun.jndi.ldap.object.trustURLCodebase设定为false,使JNDI无法使用LDAP下载远端Java Class。
[参考资料:]
1. https://logging.apache.org/log4j/2.x/security.html
3. https://thehackernews.com/2021/12/extremely-critical-log4j-vulnerability.html
4. https://nvd.nist.gov/vuln/detail/CVE-2021-44228
(此通报仅在于告知相关资讯,并非为资安事件),如果您对此通报的内容有疑问或有关于此事件的建议,欢迎与我们连络。
教育机构资安通报应变小组
网址:https://info.cert.tanet.edu.tw/
专线电话:07-5250211
网络电话:98400000
E-Mail:service@cert.tanet.edu.tw
