Amazon Linux AMI：log4j (ALAS-2023-1718)

critical Nessus 插件 ID 173936

语言：

简介

远程 Amazon Linux AMI 主机缺少安全更新。

描述

远程主机上安装的 log4j 版本低于 1.2.17-16.14。因此，如公告 ALAS-2023-1718 所述，该主机受到多个漏洞的影响。

- 当攻击者对 Log4j 配置具有写入访问权限或该配置引用攻击者具有访问权限的 LDAP 服务时，所有 Log4j 1.x 版本中的 JMSSink 都容易受到反序列化不受信任数据的影响。攻击者可通过提供 TopicConnectionFactoryBindingName 配置，导致 JMSSink 以与 CVE-2021-4104 类似的方式执行 JNDI 请求，从而造成远程代码执行。请注意，此问题仅影响特别配置为使用 JMSSink（非默认设置）的 Log4j 1.x 。Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2，因为该版本可解决先前版本中存在的许多其他问题。(CVE-2022-23302)

- 按照设计，Log4j 1.2.x 中的 JDBCAppender 接受 SQL 语句作为配置参数，其中要插入的值为来自 PatternLayout 的转换器。可能始终包含消息转换器 %m。这允许攻击者通过在所记录应用程序的输入字段或标头中输入构建的字符串来操纵 SQL，从而允许执行非预期的 SQL 查询。请注意，此问题仅影响特别配置为使用 JDBCAppender（非默认设置）的 Log4j 1.x 。
从 2.0-beta8 版本开始，重新引入 JDBCAppender，以适当支持参数化 SQL 查询，并对日志中写入的列进行进一步自定义。Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2，因为该版本可解决先前版本中存在的许多其他问题。(CVE-2022-23305)

- CVE-2020-9493 发现 Apache Chainsaw 中存在一个反序列化问题。V2.0 之前版本的 Chainsaw 属于 Apache Log4j 1.2.x 的一个组件，其中存在相同的问题。(CVE-2022-23307)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。