圖片來源: 

Apache基金會

 12/29資訊更新  Log4j再傳RCE漏洞,Apache釋出2.17.1新版

 12/23資訊更新  CISA釋出掃瞄Log4j漏洞工具

Log4j漏洞之所以震撼全球,是因為使用的網站及軟體太多。Google上周發現許多開發人員常用的Maven Central儲存庫(repository)、也有高達1.7萬個Java套件受到該漏洞影響,可能引發軟體供應攻擊,其中有約1/4已經修補。

Maven Central儲存庫用以協助開發人員解決函式庫的相依性管理問題,是最主要的Java套件庫之一。Google開源碼分析洞見小組上周(12/17)指出,Maven Central儲存庫有35,863 個Java套件使用受影響的Log4j程式碼,占所有Maven Central套件的8%。不修補的結果將成為軟體用戶的災難,攻擊者可使用惡意JNDI 查詢指令,在用戶系統上遠端執行程式碼。許多版函式庫中是預設開啟JNDI查詢功能。

不過Google稍後指出,這3.5萬是根據原先CVE公告,將依賴log4j-core及log4j-api的Java套件列入計算。之後,CVE公告澄清只有log4j-core有Log4j漏洞影響。截至12月19日,因log4j-core相依而受影響的Java套件有1.7萬餘個,占所有Maven Central Java套件約4%。

Google以Java套件是否升級到2.16.0(最新版為2.17.0)或移除和Log4j相依性定義它是否修補。到12月19日,有25%(約4200個套件)已經完成修補。

在這1.7萬受影響的Java套件中,大部份是間接依賴log4j。研究人員解釋,當漏洞位於相依鏈(dependency chain)愈深層,就需花愈多步驟來解決。Google分析Maven Central Java套件大部份都超過1層深,而5到9層深者也為數不少。

至於所有受Log4j漏洞影響的Java套件修補要多久時間,Google認為很難說,由於目前修補比例並不高,因此全部修補好要花幾年也說不定。Google也提供500個和Log4j直接相依的Java套件,及是否修補的清單供開發人員及管理員參考。

除了發送惡意JNDI查詢指令外,Blumira另外也發現攻擊者可藉由WebSocket協定傳送惡意HTTP請求觸發Log4j漏洞(Log4Shell),而在用戶機器或本地網路主機上執行任意程式碼。此外2.16.0版本還發現一個DoS漏洞。為確保安全,Apache呼籲開發人員及管理員應升級到最新的2.17.0版。

 相關報導 

 12/27相關報導  Nvidia、HPE、IBM公布受Log4j漏洞影響的產品

 12/21相關報導  WebSocket成Log4j漏洞攻擊新管道,連不對外網路主機也曝險

 12/20相關報導  Apache Log4j再釋出2.17版,修補DoS漏洞

 12/16相關報導  Log4j 2.15.0修補不全、Apache再釋2.16.0新版

 Log4j相關修補時間軸  Apache Log4j日誌框架系統重大漏洞


熱門新聞

Advertisement