fbpx
+36 1 781 4842 info@fortix.hu

Kiemelt sérülékenység 2021.12.13. – log4j

Nyilvántartásba vétel dátuma: 2021. 11. 26.
Publikálás dátuma: 2021. 12. 10.
Azonosító: CVE-2021-44228
Súlyosság: kritikus

Mi az a log4j?

Az Apache log4j egy Java-alapú naplózási segédeszköz. Eredetileg Ceki Gülcü írta. Jelenleg az Apache Software Foundation egyik projektje, egyike a számos Java naplózási keretrendszernek. Gülcü azóta már az SLF4J-en és Logback projekten dolgozik, amelyek a log4j új generációs változatai lesznek.1
A GitHubon elérhető egy proof of concept itt.2

Milyen sérülékenység a CVE-2021-44228?

A CVE-2021-44228-et tekinthetjük egy Java komponens vagy egy Apache sérülékenységnek is.

A sérülékenység rövid technikai leírása (CVE)

A konfigurációban, naplóüzenetekben és paraméterekben használt Apache Log4j2 <=2.14.1 JNDI-szolgáltatások nem nyújtanak védelmet a támadók által vezérelt LDAP és más JNDI-vel kapcsolatos végpontok ellen. A naplóüzeneteket vagy naplóüzenet-paramétereket vezérelni tudó támadó tetszőleges kódot hajthat végre az LDAP-kiszolgálókról, ha az üzenetkeresési helyettesítés engedélyezett. 3

Érintett szolgáltatások

Ezt az open source Java eszközt széleskörűen használják, ezért a potenciálisan érintettek köre széles, és az érintettek köre még később is bővülhet. Néhány példa, akikről már tudott, hogy érintett:

– Több Apache konfiguráció, ha az alapértelmezéseket nem változtatták meg, pl. Apache Struts2, Apache Solr, Apache Druid, Apache Flink
– Minercraft4
– ArcGIS5

Mit lehet tenni?

Több megoldás is létezik

  1. Mivel a támadási mintát könnyű felismerni, ezért az ilyen támadásokat könnyű felismerni, blokkolni a szokásos IDS, IPS rendszerekkel.
  2. Ez a sérülékeny helyettesítés a log4j 2.15.0 verziótól kezdve alapértelmezés szerint le van tiltva. A 2.14.1..2.10 kiadásokban a mitigáció a „log4j2.formatMsgNoLookups” rendszertulajdonság &#8220;true&#8221 -ra állításával valósítható meg. A 2.10 előtti kiadásokban pedig a JndiLookup osztály eltávolításával az osztályútvonalról (például: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class ) mitigáható a sérülékenység.2
  3. További javítási útmutató itt található6.

Szerző: Ráczpali István

———————————————————————————————————————–

1 Forrás: https://hu.wikipedia.org/wiki/Apache_Log4j
2 Link: https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce
3 Forrás: http://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228
4 Forrás: https://arstechnica.com/information-technology/2021/12/minecraft-and-other-apps-face-serious-threat-from-new-code-execution-bug/
5 https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/arcgis-software-and-cve-2021-44228-aka-log4shell-aka-logjam/
6 Link: https://www.bleepingcomputer.com/news/security/researchers-release-vaccine-for-critical-log4shell-vulnerability/

 

Iratkozzon fel hírlevelünkre!

    (*)