Apache Log4j 1.x の複数の脆弱性

critical Nessus プラグイン ID 156860

概要

リモートホストで実行されているロギングライブラリには、複数の脆弱性があります。

説明

自己報告されたバージョン番号によると、リモートホストの Apache Log4j のインストールは 1.xであり、すでにサポート対象外です。Log4j は、2016 年より前にサポートが終了しました。加えて、Log4j 1.xは以下を含むの複数の脆弱性の影響を受けます。

- Log4j には、シリアル化されたログイベントを受け入れ、オブジェクトが許可されているかどうかを検証せずに逆シリアル化する SocketServer が含まれています。これにより、悪用可能な攻撃ベクトルが提供される可能性があります。 (CVE-2019-17571)

- Apache Log4j SMTP アペンダーのホスト不一致を伴う証明書の不適切な検証。これにより、SMTPS 接続が中間者攻撃によって傍受され、そのアペンダーを通じて送信されたログメッセージが漏洩する可能性があります。 (CVE-2020-9488)

- JMSSink は保護されていない方法で JNDI を使用するため、信頼できないサイトを参照するように構成されている場合、または攻撃者が参照されているサイトにアクセスできる場合、JMSSink を使用するアプリケーションが脆弱になる可能性があります。
(CVE-2022-23302)

サポートされていないため、この製品の新しいセキュリティパッチはベンダーからリリースされません。その結果、セキュリティの脆弱性が含まれている可能性があります。

ソリューション

現在サポートされているバージョンの Apache Log4j にアップグレードしてください。

Apache Log4j の最新バージョンへのアップグレードは、それまでのバージョン / パッチに深刻なセキュリティ上の脆弱性があるために、強く推奨されています。Log4j の影響に関する新しい調査と知見が発見されると、ベンダーは頻繁にアドバイザリを更新しています。最新のバージョンについては、https://logging.apache.org/log4j/2.x/security.html を参照してください。

関連情報

https://logging.apache.org/log4j/1.2/

プラグインの詳細

深刻度: Critical

ID: 156860

ファイル名: apache_log4j_1_x_multiple_vulnerabilities.nasl

バージョン: 1.6

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2022/1/19

更新日: 2022/5/6

サポートされているセンサー: Nessus Agent

リスク情報

CVSS スコアのソース: CVE-2022-23307

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: High

Base Score: 9

Temporal Score: 6.7

ベクトル: AV:N/AC:L/Au:S/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:apache:log4j

必要な KB アイテム: installed_sw/Apache Log4j

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2019/12/20

参照情報

CVE: CVE-2019-17571, CVE-2020-9488, CVE-2022-23302, CVE-2022-23305, CVE-2022-23307