技术文章 - CS359319
Apache Log4J 1.x 安全漏洞 (CVE-2021-4104 & CVE-2019-17571) – 对 Servigistics 产品的影响
已修改: 20-Dec-2021
适用于
- Servigistics Service Parts Management 9.3 to 12.2.0.1
- Servigistics Click Parts Planning 5.10 to 7.7.2.1
- Servigistics Service Parts Pricing 9.3 to 12.2.0.1
- Servigistics Intellicus 7.3 to 19.1
- Servigistics MCA Parts Planning 7.0 to 8.0.0.11
- Servigistics Click Extend 4.1
- Servigistics Service Network Management 10.7.1.1 to 11.2
说明
已针对 Apache Log4j 1.x 报告了多个 CVE。由于已知不支持,因此提供分析和理由以确认对 Servigistics 产品的已知影响。
上面“适用于”区域中指定的产品版本均包含 log4j1.x 版本
CVE-2021-4104:
在 Log4j 1.x 中,如果在 log4j 的配置文件中启用,JMSAppender 将执行 JNDI 查找。如果使用 JNDI (JMSAppender) 的配置使用 Log4j 1.x 的应用程序可能会受到影响。
基础 CVSS 分数:8.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Red Hat 发现 RHSB-2021-009 ( CVE-2021-4104 )
https://access.redhat.com/security/cve/CVE-2021-4104
Redhat Bugzilla文章包括其他详细信息:
在 1.x 版的 Java 日志库 Apache Log4j 中发现了一个缺陷。如果部署的应用程序配置为使用 JMSAppender,这允许远程攻击者在服务器上执行代码。
请注意,此问题仅在专门配置为使用 JMSAppender 时影响 Log4j 1.x,这不是任何 Servigistics 产品的默认设置。
解决潜在漏洞的已知缓解选项是:
Apache Log4j 2.x 安全漏洞 (CVE-2021-44228 & CVE-2021-45046 & CVE-2021-45105) - 对 Servigistics 产品的影响
CVE-2019-17571:
上面“适用于”区域中指定的产品版本均包含 log4j1.x 版本
CVE-2021-4104:
在 Log4j 1.x 中,如果在 log4j 的配置文件中启用,JMSAppender 将执行 JNDI 查找。如果使用 JNDI (JMSAppender) 的配置使用 Log4j 1.x 的应用程序可能会受到影响。
基础 CVSS 分数:8.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Red Hat 发现 RHSB-2021-009 ( CVE-2021-4104 )
https://access.redhat.com/security/cve/CVE-2021-4104
Redhat Bugzilla文章包括其他详细信息:
在 1.x 版的 Java 日志库 Apache Log4j 中发现了一个缺陷。如果部署的应用程序配置为使用 JMSAppender,这允许远程攻击者在服务器上执行代码。
请注意,此问题仅在专门配置为使用 JMSAppender 时影响 Log4j 1.x,这不是任何 Servigistics 产品的默认设置。
解决潜在漏洞的已知缓解选项是:
- 如果使用的话,在 Log4j 配置中注释掉或移除 JMSAppender
- 从类路径中删除 JMSAppender 类
- 限制操作系统用户在运行应用程序的平台上的访问,以防止攻击者修改 Log4j 配置。
Apache Log4j 2.x 安全漏洞 (CVE-2021-44228 & CVE-2021-45046 & CVE-2021-45105) - 对 Servigistics 产品的影响
CVE-2019-17571:
- Servigistics Products 使用了 CVE-2019-17571 漏洞描述中提到的 log4j 1.x 漏洞版本。
- SocketServer / SimpleSocketServer易受攻击的类的使用作为 Log4J 的 SocketAppender 的一种功能出现,它将 LoggingEvent 对象发送到远程日志服务器,通常是 SocketNode。 SocketNode 使用套接字 (TCP) 读取从远程客户端发送的 LoggingEvent 对象。这些日志事件是根据本地策略记录的,就好像它们是在本地生成的一样。 SocketAppenders 将一个没有任何布局的序列化 LoggingEvent 对象传送到服务器端。在远程主机上,通过反序列化,您将可以访问所有相同的信息,并且应该能够指定打印日志的布局。
- 通过其 SocketServer 类(存在漏洞的地方)访问远程日志的 log4j 功能在 Servigistics Products OOTB 中未启用,并且 Servigistics 代码库中没有此类调用。此外,没有提到启用/运行功能的 Servigistics 文档。
这是文章 359319 的 PDF 版本,可能已过期。最新版本 CS359319