Apache Log4j 安全漏洞

此页面列出了 Apache Log4j 2 发行版中修复的所有安全漏洞。每个漏洞由Apache Logging 安全团队赋予安全影响等级。请注意，该评级可能因平台而异。我们还列出了已知会影响该漏洞的 Apache Log4j 的版本，并且在尚未验证该漏洞的地方列出了带有问号的版本。

注意：不是 Log4j 漏洞，但已根据 Log4j 错误地报告或 Log4j 提供解决方法的漏洞列在此页的末尾。

请注意，Log4j 1.x 已到使用寿命，并且不再受支持。 2015 年 8 月之后针对 Log4j 1.x 报告的漏洞尚未检查，将无法修复。用户应升级到 Log4j 2 以获得安全修复程序。

请注意，从未提供二进制补丁。如果需要应用源代码补丁，请使用所使用的 Apache Log4j 版本的构建说明。对于 Log4j 2，这是 BUILDING.md。可以在源分发版的根子目录中找到此文件。

如果您需要构建或配置 Log4j 方面的帮助，或需要按照说明缓解此处列出的已知漏洞的方法获得其他帮助，请将您的问题发送到公共 Log4j 用户邮件列表

如果您遇到了未列出的安全漏洞或其他可能影响安全的意外行为，或者此处的说明不完整，请私下向Log4j 安全团队报告。谢谢。

已在 Log4j 2.13.2 中修复

CVE-2020-9488：Apache Log4j SMTP 附加程序中主机不匹配的证书验证不正确。

Severity: Low

CVSS 基本分数：3.7(低)CVSS：3.0/AV：N/AC：H/PR：N/UI：N/S：U/C：L/I：N/A：N

受影响的版本：从 2.0-alpha1 到 2.13.1 的所有版本

描述：在 Log4j2 SMTP 附加程序中主机不匹配的证书验证不正确。这可能会导致中间人攻击拦截 SMTPS 连接，从而可能泄漏通过该附加程序发送的所有日志消息。

报告的问题是由 SslConfiguration 中的错误引起的。在 Log4j 配置中使用 SslConfiguration 的任何元素也会受到此问题的影响。这包括 HttpAppender，SocketAppender 和 SyslogAppender。通过系统属性配置的 SslConfiguration 的用法不受影响。

缓解措施：用户应升级到 Apache Log4j 2.13.2，该版本通过使 SMTPS 邮件会话的 SSL 设置可配置而解决了 LOG4J2-2819 中的此问题。作为以前版本的解决方法，用户可以将 mail.smtp.ssl.checkserveridentity 系统属性设置为 true，以对所有 SMTPS 邮件会话启用 SMTPS 主机名验证。

图片来源：PeterStöckli 发现了这个问题。

References: https://issues.apache.org/jira/browse/LOG4J2-2819

已在 Log4j 2.8.2 中修复

CVE-2017-5645：Apache Log4j 套接字接收器反序列化漏洞。

Severity: Moderate

CVSS 基本分数：7.5(AV：N/AC：L/Au：N/C：P/I：P/A：P)

受影响的版本：从 2.0-alpha1 到 2.8.1 的所有版本

说明：当使用 TCP 套接字服务器或 UDP 套接字服务器接收来自另一个应用程序的序列化日志事件时，可以发送特制的二进制有效负载，在反序列化时可以执行任意代码。

缓解措施：Java 7 用户应迁移到 2.8.2 版或避免使用套接字服务器类。 Java 6 用户应避免使用 TCP 或 UDP 套接字服务器类，否则他们可以从 2.8.2 手动反向移植安全修补程序：https://github.com/apache/logging-log4j2/commit/5dcc192

图片来源：Telstra Red Team 的 Marcio Almeida de Macedo 发现了此问题

References: https://issues.apache.org/jira/browse/LOG4J2-1863

Apache Log4j 的安全影响级别摘要

Apache Log4j 安全团队评估影响 Log4j 的每个安全漏洞的影响。为了保持一致，我们选择了与其他主要供应商所使用的等级非常相似的等级。基本上，评分系统的目标是回答“我应该如何担心此漏洞？”这一问题。

请注意，为每种缺陷选择的等级是在所有体系结构中最糟糕的情况。为了确定特定漏洞对您自己的系统的确切影响，您仍然需要阅读安全公告以找到有关该漏洞的更多信息。

我们使用以下描述来确定赋予每个漏洞的影响等级：

Critical

评级为“严重”的漏洞是一种可能被远程攻击者利用的漏洞，以使 Log4j 执行任意代码(以运行服务器的用户身份或根用户身份)。这些是蠕虫可以自动利用的漏洞。

Important

评级为“重要影响”的漏洞是可能导致数据泄露或服务器可用性受到威胁的漏洞。对于 Log4j，这包括允许轻松远程拒绝服务的问题(与攻击不成比例或造成持久后果的问题)，访问上下文根之外的任意文件的访问权限，或访问应通过以下方式阻止的文件：限制或认证。

Moderate

如果可以采取很大的缓解措施以使问题的影响较小，则该漏洞可能被评为“中等”。这可能是因为该漏洞不会影响可能的配置，或者它不是一种广泛使用的配置。

Low

所有其他安全漏洞被归为低影响。此等级用于认为极难利用的问题，或利用后果最小的问题。