【再更新】2021年12月30日,天问平台 “天蚕3.0-log4j2漏洞离线专查版” 更新了,在支持(CVE-2021-44228)漏洞检测的基础上,另外支持检测log4j(CVE-2021-45046、CVE-2021-45105)两个漏洞。。该专查工具所有分析检测过程全部在被测主机上离线完成,不需要将任何信息回传服务器,解决了敏感信息泄露的担忧。

工具信息

工具SHA1:【b32bacdc1f1358902a69c4193902cfa3c6ca078d】
工具版本: 3.0.3
下载链接:log4jfind3.0.3.tgz【若已登录天问可直接点击下载】

天问登录/注册

访问(天问平台),点击右上角登录平台,未注册账号的用户利用邀请码“66f6c4d2838cf5eb0b73ef58e1836cc6”注册平台账号,登录之后点击“软件测试”功能菜单,即可下载离线专查工具。

漏洞描述

CVE-2021-45046:该漏洞为 CVE-2021-44228 修复的绕过,在某些特殊配置的情况下可能造成远程代码执行,虽然 log4j 2.15.0 默认情况下的修复将 JNDI LDAP Lookup 限制为 localhost ,但存在绕过。
CVE-2021-45105:由于没有防止来自self-referential 查找的不受控制的递归,当日志配置使用带有上下文查找的非默认模式布局(例如,$${ctx:loginId})时,控制线程上下文映射 (MDC) 输入数据的攻击者可以制作包含递归查找的恶意输入数据,导致 StackOverflowError ,从而终止进程,造成拒绝服务。

影响范围

CVE-2021-45046:Apache Log4j 2.0-beta9 - 2.12.1、Apache Log4j 2.13.0-2.15.0
CVE-2021-45105:Apache Log4j 2.0-beta9 - 2.16.0

修复方案

请联系厂商获取修复后的官方版本:https://github.com/apache/logging-log4j2

相关链接

【天问】新增Log4j2(CVE-2021-44228)漏洞纯离线一键排查解决方案】