Apache Log4j 2.0< 2.3.2/ 2.4< 2.12.4/ 2.13< 2.17.1RCE
medium Nessus プラグイン ID 156327
Language:
概要
リモートホストにインストールされているパッケージは、リモートでコードが実行される脆弱性の影響を受けます。説明
リモートホストの Apache Log4j のバージョンは、 2.0 < 2.3.2、 2.4 < 2.12.4、または 2.13 < 2.17.1 です。したがって、リモートコード実行の脆弱性の影響を受けます。Apache Log4j2 バージョン 2.0-beta7 から 2.17.0 (セキュリティ修正リリース 2.3.2 および 2.12.4 を除く) は、リモートコード実行 (RCE) 攻撃に対して脆弱であり、ロギング構成ファイルを変更する権限を持つ攻撃者が、リモートコードを実行できる JNDI URI を参照するデータソースを持つ JDBC アペンダーを使用して悪意のある構成を構築する可能性があります。この問題は、JNDI データソース名を Log4j2 バージョン 2.17.1、 2.12.4、および 2.3.2 の java プロトコルに制限することで修正されます。Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Apache Log4j バージョン 2.17.1、2.12.4、または 2.3.2 以降にアップグレードするか、ベンダーの緩和策を適用してください。Apache Log4j の最新バージョンへのアップグレードは、それまでのバージョン / パッチに深刻なセキュリティ上の脆弱性があるために、強く推奨されています。Log4j の影響に関する新しい調査と知見が発見されると、ベンダーは頻繁にアドバイザリを更新しています。最新のバージョンについては、https://logging.apache.org/log4j/2.x/security.html を参照してください。
参考資料
プラグインの詳細
深刻度: Medium
ID: 156327
ファイル名: apache_log4j_2_17_1.nasl
バージョン: 1.9
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2021/12/28
更新日: 2023/11/22
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 8.5
現状値: 7
ベクトル: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2021-44832
CVSS v3
リスクファクター: Medium
基本値: 6.6
現状値: 6.1
ベクトル: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:apache:log4j
必要な KB アイテム: installed_sw/Apache Log4j
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2021/12/28
脆弱性公開日: 2021/12/28
参照情報
CVE: CVE-2021-44832
IAVA: 0001-A-0650, 2021-A-0573