信息名称 | Log4j2 远程代码执行漏洞 | ||
报告ID | QAXCERT-2022-086 | 可信度 | 低 |
公开时间 | 2022-07-30 | 更新时间 | 2022-07-31 |
研判结论 | 目前仅发现疑似Payload公开,以下为奇安信CERT的研判: 即便以上条件都满足,可能还需要其他特定配置条件,所以即使可用,也仅限于极少数手动配置不安全的场景。 现在已知最相关的漏洞还是CVE-2021-44228 Apache Log4j2任意代码执行漏洞,详情在下面。去年44228出现以后,随后还出了一波衍生的垃圾漏洞,log4j2早就被在显微镜下给扫描了一遍,因为最新版本的log4j2默认禁用了JNDI,影响漏洞威胁的最核心特性被禁,就很难指望再出什么手榴弹级别的漏洞。所以,对于上面的漏洞传言,我们的建议就是保证log4j2到最新版本,确认JNDI禁用状态。 | ||
信息相关漏洞状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
疑似公开 | 未确认 | 未确认 | 未确认 |
相关漏洞 | Apache Log4j2任意代码执行漏洞(CVE-2021-44228) | ||
公开时间 | 2021-12-23 | 更新时间 | 2022-07-31 |
CVE编号 | CVE-2021-44228 | 其他编号 | QVD-2021-35958 |
威胁类型 | 代码执行 | 技术类型 | JNDI注入 |
厂商 | Apache | 产品 | Log4j2 |
已知漏洞状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
是 | 已公开 | 已公开 | 已发现 |
漏洞描述 | Apache Log4j2是Apache的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。 Apache Log4j2存在远程代码执行漏洞(CVE-2021-44228),该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 | ||
影响版本 | Apache Log4j 2.0-beta9 - 2.12.1 Apache Log4j 2.13.0 - 2.14.1 | ||
修复缓解措施 | |||
修复解决方案(含漏洞补丁) | 从Apache Log4j 2.16.0及Apache Log4j 2.12.2版本起,默认禁用JNDI功能,若需使用JNDI查找,需显式的在配置中启用。从Apache Log4j版本 2.17.0(Java 8)、2.12.3(Java 7)和 2.3.1(Java 6)起,已移除 JNDI 查找功能,且禁用 LDAP 协议,仅支持 Java 协议。建议尽快升级至安全版本: https://logging.apache.org/log4j/2.x/download.html | ||
信息名称 | Nginx <= 1.21.5堆栈溢出导致远程命令执行漏洞 | ||
报告ID | QAXCERT-2022-084 | 可信度 | 低 |
公开时间 | 2022-07-30 | 更新时间 | 2022-07-31 |
研判结论 | 未监测到符合声称描述的漏洞,能关联到的为4月披露的NGINX LDAP参考实现远程代码执行漏洞。 在信息不足的情况下行动,判断事情本身发生的概率直接影响采取措施的强度。Nginx是使用量巨大的软件,黑客们做梦都想发现相关的好用漏洞,多少双眼睛盯着呢,默认配置下的内存破坏类好用漏洞出现的可能性极低,真有这样的漏洞利用,大概率已经会看到大量活动,不会一直都只听人声不见人影的情况。 | ||
信息相关漏洞状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
未确认 | 未确认 | 未确认 | 未确认 |
相关漏洞 | NGINX LDAP参考实现远程代码执行漏洞 | ||
公开时间 | 2022-04-09 | 更新时间 | 2022-07-31 |
CVE编号 | 暂无 | 其他编号 | 暂无 |
威胁类型 | 代码执行 | 技术类型 | 业务逻辑问题 |
厂商 | Nginx | 产品 | nginx-ldap-auth |
已知漏洞状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
未发现 | 未发现 | 未发现 | 未公开 |
漏洞描述 | NGINX LDAP 参考实现使用轻量级目录访问协议 (LDAP) 来验证由 NGINX 代理的应用程序的用户。NGINX LDAP参考实现中存在远程代码执行漏洞,攻击者可通过向目标服务器发送特制请求来利用此漏洞,从而在目标系统上执行任意代码。注意,NGINX Open Source 和 NGINX Plus 本身不受此漏洞影响。 NGINX 官方指出了利用漏洞需要满足的条件,如果满足以下任何条件,LDAP 参考实现的部署会受到漏洞的影响: | ||
影响版本 | 配置了NGINX LDAP 参考实现的以下版本:Nginx<=1.18 | ||
修复缓解措施 | 缓解条件1:命令行参数用于配置 Python 守护程序 请将以下配置添加到NGINX 配置(repo中的nginx-ldap-auth.conf)中的location = /auth-proxy块中: location = /auth-proxy { # ... proxy_pass_request_headers off; proxy_set_header Authorization $http_authorization; # If using Basic auth # ...}缓解条件2:未使用的可选配置参数 将以下配置添加到NGINX 配置中的location = /auth-proxy块中: location = /auth-proxy { # ... proxy_pass_request_headers off; proxy_set_header Authorization $http_authorization; # If using Basic auth # ...}缓解条件3:需要 LDAP 组成员身份 请确保显示登录表单的后端守护程序从用户名字段中删除任何特殊字符。必须删除左括号和右括号字符以及等号,它们对于 LDAP 服务器都有特殊含义。LDAP 参考实现中的后端守护程序将在适当的时候以这种方式进行更新。 | ||
修复解决方案(含漏补丁) | 请尽快升级至安全版本 | ||
文章来源:奇安信 CERT
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
多一个点在看多一条小鱼干
如有侵权请联系:admin#unsafe.sh