RHSB-2021-009 Log4Shell - 远程代码执行漏洞 - log4j(红帽系统产品受影响清单和说明

最新推荐文章于 2024-08-15 09:08:26 发布
最新推荐文章于 2024-08-15 09:08:26 发布
阅读量628 收藏 1
点赞数
分类专栏: Centos 笔记 文章标签: java centos
原文链接:https://access.redhat.com/zh_CN/security/vulnerabilities/6579441
版权
笔记 同时被 2 个专栏收录
276 篇文章 4 订阅
订阅专栏
Centos
25 篇文章 0 订阅
订阅专栏

执行摘要

Apache Log4j 是一个与日志功能有关的函数库,内嵌在基于 Java 应用程序中。在 Apache Log4j 2 (Log4j的升级版)中发现了一个漏洞,攻击者可以注入一个恶意的字符串, 这个字符串可以以Java 命名与目录接口(JNDI)的方式来使用轻量级目录访问协议(LDAP)进行服务查询,此时攻击者就可以在这台服务器上执行恶意代码。

这个漏洞允许远程攻击者在目标主机上执行恶意代码,执行代码的用户权限即为调用了 Apache Log4j2 的 Java 应用的用户权限。

目前上游社区已经给此问题分配了 CVE 代码 CVE-2021-44228,并且将影响级别定义为高危级别(Critical)。此问题对红帽产品的影响可以参考红帽 CVE 链接 CVE-2021-44228。

下列红帽产品版本将会受到本次安全漏洞的影响:

  • Red Hat CodeReady Studio 12 

  • Red Hat OpenStack Platform 13

  • Red Hat Integration Camel K

  • Red Hat Integration Camel Quarkus

  • Red Hat OpenShift Application Runtimes Vert.X 4

  • Red Hat Fuse 7

  • Red Hat OpenShift 4

  • Red Hat OpenShift 3.11

  • Red Hat OpenShift Logging

  • Red Hat Data Grid 8

  • Red Hat AMQ Streaming 

红帽强烈建议您在红帽发布软件勘误补丁包(errata)后第一时间更新您受到影响的软件版本。并建议您在没有更新可用的情况下,通过使用缓解方案避免系统受到影响。

下列产品不受此缺陷的影响,在此处明确列出以方便我们的客户。

  • Red Hat Enterprise Linux 5, 6, 7, 8
  • Red Hat Cost Management
  • Red Hat Advanced Cluster Management for Kubernetes 
  • Red Hat Ansible Automation Platform (Engine and Tower)
  • Red Hat Certificate System
  • Red Hat Directory Server
  • Red Hat CloudForms 
  • Red Hat Update Infrastructure
  • Red Hat Satellite

技术概述

在从版本 2.0.0 到2.15.0 的 Apache Log4j 日志记录库中发现了一个安全漏洞。一个能够控制日志信息或日志信息参数的远程攻击者,利用这个安全漏洞可以通过 JNDI LDAP 端点在服务器上执行任意代码。

缓解方案

根据使用的 log4j 的版本,可以使用以下相关的缓解方案:

- 对于版本 2.10 及更高版本,将系统属性 log4j2.formatMsgNoLookups 或环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true,

- 对于版本 2.7 到版本 2.14.1,可以修改所有 PatternLayout 模式,以将消息转换器指定为 %m{nolookups} 而不是仅为 %m,

- 对于版本 2.0-beta9 到版本 2.10.0,从类路径中删除 JndiLookup 类。例如:

```
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
```
- 对于 OpenShift 4 和 OpenShift Logging,请参阅以下文档中的缓解方案:OCP4: CVE-2021-44228 affecting Elasticsearch (Red Hat OpenShift Logging) - Red Hat Customer Portal

受影响产品的更新

红帽强烈建议您在红帽发布软件勘误补丁包(errata)之后尽快更新您业务系统中正在受到影响的软件版本。并建议您在没有更新可用的情况下,通过使用缓解方案避免系统受到影响。

产品

组件

公告/更新 [1]

Red Hat OpenShift 4

openshift4/ose-logging-elasticsearch6

openshift4/ose-metering-presto

openshift4/ose-metering-hive

Red Hat OpenShift 3.11

openshift3/ose-logging-elasticsearch5

Red Hat OpenShift Logging

logging-elasticsearch6-container

Red Hat OpenStack Platform 13

opendaylight

Red Hat CodeReady Studio 12

log4j-core

Red Hat Data Grid 8

log4j-core

Red Hat Integration Camel-K

log4j-core

Red Hat Integration Camel Extensions for Quarkus

log4j-core

Red Hat AMQ Streams

log4j-core

Red Hat Fuse 7

log4j-core

Red Hat build of Vert.x 4

log4j-core

平台软件包状态勘误发布日期
Red Hat Software Collectionsrh-maven36-log4j12不受影响
Red Hat Software Collectionsrh-maven35-log4j12不受影响
Red Hat Software Collectionsrh-java-common-log4j不受影响
Red Hat Enterprise Linux 8parfait:0.5/log4j12不受影响
Red Hat OpenShift Container Platform 4openshift4/ose-metering-presto受影响
Red Hat OpenShift Container Platform 4openshift4/ose-metering-hive受影响
Red Hat OpenShift Container Platform 4openshift4/ose-logging-elasticsearch6受影响
Red Hat OpenShift Container Platform 3.11openshift3/ose-logging-elasticsearch5受影响
Red Hat OpenStack Platform 13 (Queens)opendaylight正在调查中
Red Hat OpenShift Logginglogging-elasticsearch6-container受影响
红帽构建的 Quarkuslog4j-core 低受影响
Red Hat JBoss Enterprise Application Platform 7log4j-core 低受影响
Red Hat JBoss Enterprise Application Platform Expansion Packlog4j-core 低受影响
A-MQ Clients 2log4j-core正在调查中
Red Hat CodeReady Studio 12log4j-core正在调查中
Red Hat Data Grid 8log4j-core受影响
Red Hat Descision Manager 7log4j-core正在调查中
Red Hat Integration Camel Klog4j-core正在调查中
Red Hat Integration Camel Quarkuslog4j-core正在调查中
Red Hat JBoss A-MQ Streaminglog4j-core受影响
Red Hat JBoss Fuse 7log4j-core受影响
Red Hat OpenShift Application Runtimeslog4j-core受影响
Red Hat Process Automation 7log4j-core正在调查中
Red Hat Single Sign-On 7log4j-core正在调查中
Red Hat Enterprise Linux 6log4j不受影响
Red Hat Enterprise Linux 7log4j不受影响
Red Hat JBoss Enterprise Application Platform 6log4j不受影响

原文:RHSB-2021-009 Log4Shell - 远程代码执行漏洞 - log4j - Red Hat Customer PortalRHSB-2021-009 Log4Shell - 远程代码执行漏洞 - log4j - Red Hat Customer Portalhttps://access.redhat.com/zh_CN/security/vulnerabilities/6579441

地球空间-技术小鱼
关注
专栏目录
CVE-2021-3156 Sudo堆溢出提权漏洞复现
afei001
01-30 1086
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 4.1 漏洞验证 4.2 漏洞验证POC 4.3漏洞利用 5.漏洞修复 5.1 临时缓解措施 5.2 升级sudo 1.漏洞概述 2021年1月26号左右,Qualys研究小组发现了sudo中的堆溢出漏洞,该漏洞在Unix和Linux的操作系统上都可以使用。通过利用此漏洞,攻击者可以将任何普通用户提权至root权限。 Sudo是一个功能强大的实用程序,绝大多数基于Unix和Linux的...
红头船B2C商城系统RHSB2C最新官方版
04-03
红头船B2C商城系统RHSB2C最新官方版,红头船B2C商城系统RHSB2C 1.0 beta1说明:一、RHSB2C是一款简洁易用、方便二次开发的PHP商城系统。这个系统的目标,是要成为最容易使用和最容易二次开发的B2C商城系统。二、后台...
全球近一半企业影响Apache Log4j 2 漏洞或将长存
热门推荐
m0_50065287的博客
12-16 2万+
你所在的公司影响了吗?
Log4Shell是什么?从Log4j漏洞说起
Trinity_Techologies的博客
01-04 4369
在开源Apache日志记录库Log4j中已发现了一个影响使用Java的设备和应用程序的新漏洞。该漏洞被称为Log4Shell,是目前互联网上最重大的安全漏洞,其严重程度为10分(满分10分),其影响有愈演愈烈之势。幸运的是,Perforce静态分析和SAST工具——Helix QAC和Klocwork——可以提供帮助。 在这里,我们将解释Log4j漏洞是什么,提供一个Log4j示例,并解释像Klocwork这样的SAST工具如何帮助预防和检测如Log4Shell这样的漏洞
探索Log4Shell漏洞一个攻击的Spring Boot应用
最新发布
gitblog_00340的博客
08-15 678
探索Log4Shell漏洞一个攻击的Spring Boot应用 log4shell-vulnerable-appSpring Boot web application vulnerable to Log4Shell (CVE-2021-44228).项目地址:https://gitcode.com/gh_mirrors/lo/log4shell-vulnerable-app 项目介绍 在网...
在 Elasticsearch 中缓解 Log4j2/Log4Shell 漏洞
Elastic 中国社区官方博客
12-16 2224
作者:Philipp Krenn 原文:Mitigate Log4j2 / Log4Shell in Elasticsearch 注:本页面内容为本人截至2021-12-14 18:30 UTC的当前理解结果。 Log4j2 安全问题 (CVE-2021-44228),也称为 Log4Shell影响版本 2.0-beta9 到 2.14.1 并在日志库的 2.15.0 中修复,很糟糕。远程代码执行 (RCE) 的漏洞得分为 10 分(满分 10 分)——利用它很简单。 全面评估应用程序的风险也很复
8220 利用 Log4Shell 漏洞进行挖矿
xnxqwzy的博客
09-05 441
研究人员近日发现 8220 组织正在利用 Log4Shell 漏洞攻击 VMware Horizon服务器,以便后续进行挖矿获利。攻击的目标系统中包含韩国能源企业,由于系统存在漏洞且未打补丁,就被攻击者集火攻击。Log4Shell(CVE-2021-44228)是 Java 日志程序 Log4j远程代码执行漏洞,攻击者可以通过使日志中包含远程 Java对象来执行
Hive3.1.2-Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)修复方法
等风来
05-04 555
其中,log4j-api-*.jar、log4j-core-*.jar是需要替换的。
PHP实例开发源码-php红头船B2C商城系统RHSB2C.zip
11-21
PHP实例开发源码—php红头船B2C商城系统RHSB2C.zip PHP实例开发源码—php红头船B2C商城系统RHSB2C.zip PHP实例开发源码—php红头船B2C商城系统RHSB2C.zip
基于PHP的红头船B2C商城系统RHSB2C.zip
07-26
系统可能采用了MVC(Model-View-Controller)设计模式,这是一种常见的软件架构,有助于代码组织和分离关注点,使得开发者能更高效地维护和扩展系统功能。 【标签】"PHP" 指出系统的核心技术栈,PHP是一种跨平台...
基于PHP的红头船B2C商城系统RHSB2C源码.zip
10-14
【描述】中的信息简洁明了,再次确认了这个压缩包包含的是红头船B2C商城系统的源代码,这表明用户可以查看和修改系统的底层代码,以适应特定业务需求或进行定制化开发。 【标签】"PHP"指出这个系统是用PHP编程语言...
log4j-core.jar包
08-07
log4j-core.jar包,log4j-core.jar包,log4j-core.jar包,log4j-core.jar包,log4j-core.jar包,log4j-core.jar包,log4j-core.jar包,log4j-core.jar包
RedHat8.4离线升级内核(漏洞编号CVE-2024-1086)
不许人间丶见白头
06-13 1498
近日,绿盟科技CERT监测网上有研究员公开披露了一个Linux内核权限提升漏洞(CVE-2024-1086)的细节信息与验证工具,由于Linux内核的netfilter:nf_tables组件存在释放后重利用漏洞, nft_verdict_init() 函数允许在钩子判定中使用正值作为丢弃错误,当 NF_DROP 发出类似于 NF_ACCEPT 的丢弃错误时,nf_hook_slow() 函数会导致双重释放漏洞,本地攻击者利用此漏洞可将普通用户权限提升至 root 权限。
log4j2漏洞分析
weixin_47623655的博客
04-11 1361
漏洞标识符为CVE-2021-44228,通常称为Log4ShellLog4j漏洞,它存在于Log4j的JNDI查找功能中。攻击者可以通过特殊构造的请求利用此漏洞,向Log4j发送恶意请求,从而触发远程代码执行(RCE)漏洞,进而获得服务器上的完全控制权限。这个漏洞的危害非常大,由于Log4j广泛应用于各种Java应用程序中,这意味着攻击者可以利用该漏洞轻松攻击大量的目标。
Log4j 被曝核弹级漏洞,开发者炸锅了
Andrew_Chenwq的博客
12-13 3585
知名的开源项目Apache Log4j出事情了 2021年12月9日,该项目被暴露出严重的安全漏洞。攻击者只需将特殊代码传输到目标机器,即可触发漏洞,并自由执行任何远程代码来控制目标机器! 说实话,光听到这个消息我就觉得很可怕。因为Log4j作为Java著名的日志记录框架,不仅被等众多自主研发项目使用,还被Redis、Kafka、Elasticsearch、ApacheFlink、Apachedruid等众多明星项目作为基本框架使用。你可以想象这个漏洞影响有多大,甚至被很多媒体称为核弹级漏洞漏洞
log4cxx日志库RedHat下安装
翠屏阿姨
07-21 1910
今天领导交给我一个任务:把log4cxx库在Redhat系统上面安装起来 首先,我得到信息,安装这个库一共需要三个软件 apr-1.4.6.tar.gz apr-util-1.4.1.tar.gz apache-log4cxx-0.10.0.tar.gz 安装顺序是从上到下的,为什么,因为后者的安装依赖前者。 我整理了一下思路,有如下几个问题: 1.安装log4cxx库到
美国政府:伊朗黑客利用Log4Shell 漏洞攻陷联邦机构
smellycat000的专栏
11-17 218
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国FBI和CISA发布联合公告指出,未具名伊朗威胁组织入侵了联邦民事行政部门 (FCEB) 所属一家组织机构并部署了XMRig 挖矿恶意软件。攻击者利用远程代码执行漏洞Log4Shell (CVE-2021-44228) 的exploit 入侵了一台未修复的VMware Horizon 服务器。部署密币挖矿机后,伊朗威胁组织还在陷服务器上设置...
探秘Log4Shell:网络安全的新挑战与解决方案
gitblog_00082的博客
04-25 346
探秘Log4Shell:网络安全的新挑战与解决方案 去发现同类优质开源项目:https://gitcode.com/ 在现代软件开发中,安全始终是一个至关重要的考虑因素。最近,一个名为Log4Shell的安全漏洞引起了全球关注,它影响了广泛使用的Java日志库Log4j。为了帮助开发者和系统管理员应对这一威胁,荷兰国家计算机安全中心(NCSC-NL)创建了一个项目,旨在提供关于Log4Shell的...
探索Apache Log4Shell漏洞一个深度指南
gitblog_00079的博客
05-30 284
探索Apache Log4Shell漏洞一个深度指南 awesome-log4shellAn Awesome List of Log4Shell resources to help you stay informed and secure! ????项目地址:https://gitcode.com/gh_mirrors/aw/awesome-log4shell 项目介绍 在网络安全的风暴中心,有一个...
探索PHP红头船B2C商城系统源码深度解析
它是一种执行在服务器端的脚本语言,适用于网站开发和应用程序开发,尤其擅长于数据库交互和数据处理。 2. B2C商城系统的组成: B2C商城系统通常由前端展示系统、后端管理系统、商品管理模块、用户管理模块、订单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值