APACHE LOG4J反序列化与SQL注入漏洞(CVE-2022-23302/CVE-2022-23305/CVE-2022-23307)通告
最新回答
吧唧你一口
2024-04-17 12:45:33
CVE-2022-23302是Apache log4j JMSSink的反序列化代码执行漏洞。当攻击者能操控Log4j配置或配置引用可访问的LDAP服务时,可能会利用JMSSink的反序列化功能执行恶意JNDI请求,类似于CVE-2021-4104,但默认配置不受影响。用户应检查并可能禁用或删除JMSSink配置以防止风险。
CVE-2022-23305涉及JDBCAppender的SQL注入漏洞。1.2.x版本的Log4j允许攻击者构造特殊字符串,注入到SQL参数中,可能导致非法查询。要避免,需从配置中移除JDBCAppender的使用。
Log4j Chainsaw的日志查看器(CVE-2022-23307,原名CVE-2020-9493)存在反序列化代码执行漏洞, Chainsaw 2.1.0已修复。用户应更新到最新版Apache Chainsaw,或暂时禁用Chainsaw的序列化日志事件读取功能,转而使用XMLSocketReceiver等其他接收器。
鉴于Log4j 1.x的停止维护和安全风险,强烈建议升级到Log4j 2的官方安全版本,如2.17.1支持Java 8及以上,2.12.4支持Java 7,2.3.2支持Java 6。官方提供了详细的迁移指南和下载链接。
请注意,本公告不构成任何保证或承诺,使用者应对传播或利用此信息产生的后果负责。绿盟科技保留对此公告的修改和解释权,所有转载需保持完整,且不得用于商业用途。
热门标签
