情資內容

（2021/12/15 更新緩解措施：新增美國CERT及CISA發布受log4j漏洞影響之產品清單） (2021/12/17 log4j 2.15.0存在漏洞，Apache組織發布新版2.16.0，請升級至此版本) (2021/12/21 log4j 2.16.0存在漏洞，Apache組織發布新版2.17.0，請升級至此版本) 一、漏洞說明: Apache Log4j在設定、日誌紀錄和參數中使用的 JNDI 功能不能防止攻擊者控制的 LDAP 和其他 JNDI 相關端點。當啟用消息查找替換時，可以控制日誌紀錄或日誌紀錄參數的攻擊者可以執行從 LDAP 伺服器加載的任意程式碼。從 log4j 2.15.0 開始，預設已禁用此行為。 二、已揭露攻擊程式碼說明[2] Packet storm公告已發現攻擊行為。 三、影響平台:[1] 2.0-beta9(含)至2.14.1(含)所有版本 四、CVSS向量:[1] 使用版本：CVSS 3.0 分析分數：10 影響等級:3 參考來源 :Apache 五、建議措施: Apache組織已發布新版2.17.0，建議評估後執行升級作業。 六、緩解措施:[1] 1. Log4j版本>=2.10中，可以將系統屬性“log4j2.formatMsgNoLookups”或環境變數LOG4J_FORMAT_MSG_NO_LOOKUPS設置為“true”來緩解這種攻擊。 2. Log4j版本>=2.7及<=2.14.1中，可在所有PatternLayout中將message converter從%m改為%m{nolookups}來緩解這種攻擊。 3. Log4j版本>=2.0-beta9及<=2.10.0中，可以從class路徑中刪除 JndiLookup class來緩解這種攻擊。（例如：zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class 4. 美國CERT及CISA皆發布受log4j漏洞影響之產品清單，請參考下述連結確認單位內設備是否受到影響，以及對應之緩解或修補措施。本清單為動態更新，建議應持續關注並確認是否有受影響設備，本中心將定期檢視清單更新狀態並進行情資更新。 CERT: https://www.kb.cert.org/vuls/id/930724 CISA: https://github.com/cisagov/log4j-affected-db 參考連結： 1. Logging Services https://logging.apache.org/log4j/2.x/security.html 2. packet storm https://packetstormsecurity.com/files/165225/Apache-Log4j2-2.14.1-Remote-Code-Execution.html 建議措施： 參考資料： 影響平台：