Apache log4j反序列化与SQL注入 漏洞（CVE-2022-23302/CVE-2022...

hua_love2011

版本：BeX5 V3.8 1 月 19 日，绿盟科技 CERT 监测到 Apache 发布安全公告披露了 3 个 Log4j 的漏洞，均影响 Apache Log4j 1.x 版本，且官方不再进行支持维护，请相关用户尽快采取措施进行防护。
Apache log4j JMSSink 反序列化代码执行漏洞（CVE-2022-23302）：当攻击者具有修改 Log4j 配置的权限或配置引用了攻击者有权访问的 LDAP 服务时，Log4j1.x 所有版本中的 JMSSink 都容易受到不可信数据的反序列化。攻击者可以提供一个 TopicConnectionFactoryBindingName 配置，利用 JMSSink 执行 JNDI 请求，从而以与 CVE-2021-4104 类似的方式远程执行代码。Log4j 默认配置时不受此漏洞影响。
Apache log4j JDBCAppender SQL 注入漏洞（CVE-2022-23305）：由于 Log4j 1.2.x 中的 JDBCAppender 接受 SQL 语句作为配置参数，PatternLayout 的消息转换器未对其中输入的值进行过滤。攻击者可通过构造特殊的字符串到记录应用程序输入的内容中来操纵 SQL，从而实现非法的 SQL 查询。Log4j 默认配置时不受此漏洞影响。
Apache log4j Chainsaw 反序列化代码执行漏洞（CVE-2022-23307）：Log4j 1.2.x 中的日志查看器 Chainsaw 中存在反序列化问题，可能造成任意代码执行，该漏洞此前被命名为 CVE-2020-9493，官方已发布 Apache Chainsaw 2.1.0 版本进行修复。Log4j 默认情况下未配置 Chainsaw 使用。


使用了 Log4j 1.x 版本的用户，可排查是否配置了 JMSSink、JDBCAppender 和 Chainsaw 进行使用，若有，则存在相应的安全风险。

请问平台是否配置了JMSSink、JDBCAppender 和 Chains aw 进行使用？

jishuang

平台没有用到这些

hua_love2011

jishuang 发表于 2022-1-21 15:12
平台没有用到这些

好的，谢谢！