更新

【再更新】2021年12月30日,天问平台 “天蚕3.0-log4j2漏洞离线专查版” 更新了,在支持(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105)漏洞检测的基础上,新增支持检测log4j-2.17.0的漏洞(CVE-2021-44832)。该专查工具所有分析检测过程全部在被测主机上离线完成,不需要将任何信息回传服务器,解决了敏感信息泄露的担忧。

工具信息

工具SHA1:【e68bc409fe069a5458ee671f0d0a27c7333898a1】
工具版本: 3.0.4
下载链接:log4jfind3.0.4.tgz【若已登录天问可直接点击下载】

天问登录/注册

访问(天问平台),点击右上角登录平台,未注册账号的用户利用邀请码“66f6c4d2838cf5eb0b73ef58e1836cc6”注册平台账号,登录之后点击“软件测试”功能菜单,即可下载离线专查工具。

漏洞描述

Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。

Apache Log4j2 2.0-beta7 到 2.17.0版本存在安全漏洞,该漏洞源于软件中对于JDBC Appender 和JNDI 缺少有效的防护与过滤。有权修改日志配置文件的攻击者可以构建恶意配置 将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。

影响范围

Log4j 2.0-beta7 <= 2.17.0 (不包括修复版本2.3.2和2.12.4)

修复方案

请联系厂商获取修复后的官方版本:https://github.com/apache/logging-log4j2

相关链接

【天问】Log4j2专查工具更新(CVE-2021-45046、CVE-2021-45105)漏洞检测】
【天问】新增Log4j2(CVE-2021-44228)漏洞纯离线一键排查解决方案】