RHSB-2021-009 Log4Shell - 远程代码执行漏洞 - log4j(红帽系统产品受影响清单和说明

最新推荐文章于 2024-06-13 21:30:44 发布
最新推荐文章于 2024-06-13 21:30:44 发布
阅读量571 收藏 1
点赞数
分类专栏: Centos 笔记 文章标签: java centos
原文链接:https://access.redhat.com/zh_CN/security/vulnerabilities/6579441
版权
笔记 同时被 2 个专栏收录
169 篇文章 4 订阅
订阅专栏
Centos
25 篇文章 0 订阅
订阅专栏

执行摘要

Apache Log4j 是一个与日志功能有关的函数库,内嵌在基于 Java 应用程序中。在 Apache Log4j 2 (Log4j的升级版)中发现了一个漏洞,攻击者可以注入一个恶意的字符串, 这个字符串可以以Java 命名与目录接口(JNDI)的方式来使用轻量级目录访问协议(LDAP)进行服务查询,此时攻击者就可以在这台服务器上执行恶意代码。

这个漏洞允许远程攻击者在目标主机上执行恶意代码,执行代码的用户权限即为调用了 Apache Log4j2 的 Java 应用的用户权限。

目前上游社区已经给此问题分配了 CVE 代码 CVE-2021-44228,并且将影响级别定义为高危级别(Critical)。此问题对红帽产品的影响可以参考红帽 CVE 链接 CVE-2021-44228。

下列红帽产品版本将会受到本次安全漏洞的影响:

  • Red Hat CodeReady Studio 12 

  • Red Hat OpenStack Platform 13

  • Red Hat Integration Camel K

  • Red Hat Integration Camel Quarkus

  • Red Hat OpenShift Application Runtimes Vert.X 4

  • Red Hat Fuse 7

  • Red Hat OpenShift 4

  • Red Hat OpenShift 3.11

  • Red Hat OpenShift Logging

  • Red Hat Data Grid 8

  • Red Hat AMQ Streaming 

红帽强烈建议您在红帽发布软件勘误补丁包(errata)后第一时间更新您受到影响的软件版本。并建议您在没有更新可用的情况下,通过使用缓解方案避免系统受到影响。

下列产品不受此缺陷的影响,在此处明确列出以方便我们的客户。

  • Red Hat Enterprise Linux 5, 6, 7, 8
  • Red Hat Cost Management
  • Red Hat Advanced Cluster Management for Kubernetes 
  • Red Hat Ansible Automation Platform (Engine and Tower)
  • Red Hat Certificate System
  • Red Hat Directory Server
  • Red Hat CloudForms 
  • Red Hat Update Infrastructure
  • Red Hat Satellite

技术概述

在从版本 2.0.0 到2.15.0 的 Apache Log4j 日志记录库中发现了一个安全漏洞。一个能够控制日志信息或日志信息参数的远程攻击者,利用这个安全漏洞可以通过 JNDI LDAP 端点在服务器上执行任意代码。

缓解方案

根据使用的 log4j 的版本,可以使用以下相关的缓解方案:

- 对于版本 2.10 及更高版本,将系统属性 log4j2.formatMsgNoLookups 或环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true,

- 对于版本 2.7 到版本 2.14.1,可以修改所有 PatternLayout 模式,以将消息转换器指定为 %m{nolookups} 而不是仅为 %m,

- 对于版本 2.0-beta9 到版本 2.10.0,从类路径中删除 JndiLookup 类。例如:

```
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
```
- 对于 OpenShift 4 和 OpenShift Logging,请参阅以下文档中的缓解方案:OCP4: CVE-2021-44228 affecting Elasticsearch (Red Hat OpenShift Logging) - Red Hat Customer Portal

受影响产品的更新

红帽强烈建议您在红帽发布软件勘误补丁包(errata)之后尽快更新您业务系统中正在受到影响的软件版本。并建议您在没有更新可用的情况下,通过使用缓解方案避免系统受到影响。

产品

组件

公告/更新 [1]

Red Hat OpenShift 4

openshift4/ose-logging-elasticsearch6

openshift4/ose-metering-presto

openshift4/ose-metering-hive

Red Hat OpenShift 3.11

openshift3/ose-logging-elasticsearch5

Red Hat OpenShift Logging

logging-elasticsearch6-container

Red Hat OpenStack Platform 13

opendaylight

Red Hat CodeReady Studio 12

log4j-core

Red Hat Data Grid 8

log4j-core

Red Hat Integration Camel-K

log4j-core

Red Hat Integration Camel Extensions for Quarkus

log4j-core

Red Hat AMQ Streams

log4j-core

Red Hat Fuse 7

log4j-core

Red Hat build of Vert.x 4

log4j-core

平台软件包状态勘误发布日期
Red Hat Software Collectionsrh-maven36-log4j12不受影响
Red Hat Software Collectionsrh-maven35-log4j12不受影响
Red Hat Software Collectionsrh-java-common-log4j不受影响
Red Hat Enterprise Linux 8parfait:0.5/log4j12不受影响
Red Hat OpenShift Container Platform 4openshift4/ose-metering-presto受影响
Red Hat OpenShift Container Platform 4openshift4/ose-metering-hive受影响
Red Hat OpenShift Container Platform 4openshift4/ose-logging-elasticsearch6受影响
Red Hat OpenShift Container Platform 3.11openshift3/ose-logging-elasticsearch5受影响
Red Hat OpenStack Platform 13 (Queens)opendaylight正在调查中
Red Hat OpenShift Logginglogging-elasticsearch6-container受影响
红帽构建的 Quarkuslog4j-core 低受影响
Red Hat JBoss Enterprise Application Platform 7log4j-core 低受影响
Red Hat JBoss Enterprise Application Platform Expansion Packlog4j-core 低受影响
A-MQ Clients 2log4j-core正在调查中
Red Hat CodeReady Studio 12log4j-core正在调查中
Red Hat Data Grid 8log4j-core受影响
Red Hat Descision Manager 7log4j-core正在调查中
Red Hat Integration Camel Klog4j-core正在调查中
Red Hat Integration Camel Quarkuslog4j-core正在调查中
Red Hat JBoss A-MQ Streaminglog4j-core受影响
Red Hat JBoss Fuse 7log4j-core受影响
Red Hat OpenShift Application Runtimeslog4j-core受影响
Red Hat Process Automation 7log4j-core正在调查中
Red Hat Single Sign-On 7log4j-core正在调查中
Red Hat Enterprise Linux 6log4j不受影响
Red Hat Enterprise Linux 7log4j不受影响
Red Hat JBoss Enterprise Application Platform 6log4j不受影响

原文:RHSB-2021-009 Log4Shell - 远程代码执行漏洞 - log4j - Red Hat Customer PortalRHSB-2021-009 Log4Shell - 远程代码执行漏洞 - log4j - Red Hat Customer Portalhttps://access.redhat.com/zh_CN/security/vulnerabilities/6579441

地球空间-技术小鱼
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红头船B2C商城系统RHSB2C最新官方版
04-03
红头船B2C商城系统RHSB2C最新官方版,红头船B2C商城系统RHSB2C 1.0 beta1说明:一、RHSB2C是一款简洁易用、方便二次开发的PHP商城系统。这个系统目标,是要成为最容易使用和最容易二次开发的B2C商城系统。二、后台...
log4j-core.jar包
08-07
log4j-core.jar包,log4j-core.jar包,log4j-core.jar包,log4j-core.jar包,log4j-core.jar包,log4j-core.jar包,log4j-core.jar包,log4j-core.jar包
全球近一半企业影响,Apache Log4j 2 漏洞或将长存
热门推荐
m0_50065287的博客
12-16 2万+
你所在的公司影响了吗?
Log4Shell是什么?从Log4j漏洞说起
Trinity_Techologies的博客
01-04 4258
在开源Apache日志记录库Log4j中已发现了一个影响使用Java的设备和应用程序的新漏洞。该漏洞被称为Log4Shell,是目前互联网上最重大的安全漏洞,其严重程度为10分(满分10分),其影响有愈演愈烈之势。幸运的是,Perforce静态分析和SAST工具——Helix QAC和Klocwork——可以提供帮助。 在这里,我们将解释Log4j漏洞是什么,提供一个Log4j示例,并解释像Klocwork这样的SAST工具如何帮助预防和检测如Log4Shell这样的漏洞
RedHat8.4离线升级内核(漏洞编号CVE-2024-1086)
最新发布
不许人间丶见白头
06-13 1279
近日,绿盟科技CERT监测网上有研究员公开披露了一个Linux内核权限提升漏洞(CVE-2024-1086)的细节信息与验证工具,由于Linux内核的netfilter:nf_tables组件存在释放后重利用漏洞, nft_verdict_init() 函数允许在钩子判定中使用正值作为丢弃错误,当 NF_DROP 发出类似于 NF_ACCEPT 的丢弃错误时,nf_hook_slow() 函数会导致双重释放漏洞,本地攻击者利用此漏洞可将普通用户权限提升至 root 权限。
在 Elasticsearch 中缓解 Log4j2/Log4Shell 漏洞
Elastic 中国社区官方博客
12-16 2138
作者:Philipp Krenn 原文:Mitigate Log4j2 / Log4Shell in Elasticsearch 注:本页面内容为本人截至2021-12-14 18:30 UTC的当前理解结果。 Log4j2 安全问题 (CVE-2021-44228),也称为 Log4Shell影响版本 2.0-beta9 到 2.14.1 并在日志库的 2.15.0 中修复,很糟糕。远程代码执行 (RCE) 的漏洞得分为 10 分(满分 10 分)——利用它很简单。 全面评估应用程序的风险也很复
Hive3.1.2-Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)修复方法
等风来
05-04 433
其中,log4j-api-*.jar、log4j-core-*.jar是需要替换的。
PHP实例开发源码-php红头船B2C商城系统RHSB2C.zip
11-21
PHP实例开发源码—php红头船B2C商城系统RHSB2C.zip PHP实例开发源码—php红头船B2C商城系统RHSB2C.zip PHP实例开发源码—php红头船B2C商城系统RHSB2C.zip
基于PHP的红头船B2C商城系统RHSB2C.zip
07-26
系统可能采用了MVC(Model-View-Controller)设计模式,这是一种常见的软件架构,有助于代码组织和分离关注点,使得开发者能更高效地维护和扩展系统功能。 【标签】"PHP" 指出系统的核心技术栈,PHP是一种跨平台...
基于PHP的红头船B2C商城系统RHSB2C源码.zip
10-14
【描述】中的信息简洁明了,再次确认了这个压缩包包含的是红头船B2C商城系统的源代码,这表明用户可以查看和修改系统的底层代码,以适应特定业务需求或进行定制化开发。 【标签】"PHP"指出这个系统是用PHP编程语言...
我国的新能源生产模拟系统达到国际先进水平.pdf
09-01
新能源生产模拟系统是当前全球能源转型中的关键技术之一,尤其是在中国,这类系统的研发已经达到了国际先进水平。这些系统主要用于预测、优化和控制可再生能源,如太阳能、风能等的生产过程,确保其高效、稳定地并入...
log4j2漏洞分析
weixin_47623655的博客
04-11 1311
漏洞标识符为CVE-2021-44228,通常称为Log4ShellLog4j漏洞,它存在于Log4j的JNDI查找功能中。攻击者可以通过特殊构造的请求利用此漏洞,向Log4j发送恶意请求,从而触发远程代码执行(RCE)漏洞,进而获得服务器上的完全控制权限。这个漏洞的危害非常大,由于Log4j广泛应用于各种Java应用程序中,这意味着攻击者可以利用该漏洞轻松攻击大量的目标
Log4j 被曝核弹级漏洞,开发者炸锅了
Andrew_Chenwq的博客
12-13 3558
知名的开源项目Apache Log4j出事情了 2021年12月9日,该项目被暴露出严重的安全漏洞攻击者只需将特殊代码传输到目标机器,即可触发漏洞,并自由执行任何远程代码来控制目标机器! 说实话,光听到这个消息我就觉得很可怕。因为Log4j作为Java著名的日志记录框架,不仅被等众多自主研发项目使用,还被Redis、Kafka、Elasticsearch、ApacheFlink、Apachedruid等众多明星项目作为基本框架使用。你可以想象这个漏洞影响有多大,甚至被很多媒体称为核弹级漏洞漏洞
log4cxx日志库RedHat下安装
翠屏阿姨
07-21 1868
今天领导交给我一个任务:把log4cxx库在Redhat系统上面安装起来 首先,我得到信息,安装这个库一共需要三个软件 apr-1.4.6.tar.gz apr-util-1.4.1.tar.gz apache-log4cxx-0.10.0.tar.gz 安装顺序是从上到下的,为什么,因为后者的安装依赖前者。 我整理了一下思路,有如下几个问题: 1.安装log4cxx库到
8220 利用 Log4Shell 漏洞进行挖矿
xnxqwzy的博客
09-05 319
研究人员近日发现 8220 组织正在利用 Log4Shell 漏洞攻击 VMware Horizon服务器,以便后续进行挖矿获利。攻击的目标系统中包含韩国能源企业,由于系统存在漏洞且未打补丁,就被攻击者集火攻击。Log4Shell(CVE-2021-44228)是 Java 日志程序 Log4j远程代码执行漏洞攻击者可以通过使日志中包含远程 Java对象来执行
美国政府:伊朗黑客利用Log4Shell 漏洞攻陷联邦机构
smellycat000的专栏
11-17 200
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国FBI和CISA发布联合公告指出,未具名伊朗威胁组织入侵了联邦民事行政部门 (FCEB) 所属一家组织机构并部署了XMRig 挖矿恶意软件。攻击者利用远程代码执行漏洞Log4Shell (CVE-2021-44228) 的exploit 入侵了一台未修复的VMware Horizon 服务器。部署密币挖矿机后,伊朗威胁组织还在陷服务器上设置...
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现
今天是几号的博客
04-12 2648
Apache log4j是Apache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞影响范围 Apache Log4j 2.x
突发!Log4j 爆“核弹级”漏洞,Flink、Kafka等至少十多个项目影响
机器学习算法与Python学习
12-10 316
点击 机器学习算法与Python学习 ,选择加星标精彩内容不迷路本文来自InfoQ昨晚,对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨,Apache 开源项目 Log4j 的远...
[转发]理解 Log4Shell 漏洞
dingpwen的博客
12-17 722
自从Log4j漏洞曝光以来,关于Log4Shell 漏洞的文章满天飞,有讲历史的,有讲底层原理的,但即使看完文章,你也不懂Log4Shell 漏洞到底是啥,这里推荐一篇文章,讲的最清楚,看完后就明确知道Log4Shell 漏洞到底是啥 推荐文章地址:https://sspai.com/post/70394 笔记:Log4Shell 支持JNDI,JNDI与LDAP一结合,就会产生问题,只要设法让使用了 Log4j 的程序记下一条内容形如 ${jndi:ldap://ldap.example.com/a}.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值