Amazon Linux 2 : log4j (ALAS-2022-1739)

critical Nessus プラグイン ID 180057

Language:

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている log4j のバージョンは、1.2.17-17 より前です。したがって、ALAS2-2022-1739 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Apache Log4j 2.8.2 より前の 2.x で、TCP ソケットサーバーまたは UDP ソケットサーバーを使用して別のアプリケーションからシリアル化されたログイベントを受信すると、特別に細工されたバイナリペイロードが送信される可能性があります。これは、逆シリアル化された場合に、任意のコードを実行することが可能です。(CVE-2017-5645)

- Log4j 1.2に含まれているのは、信頼できないデータの逆シリアル化に対して脆弱なSocketServerクラスであり、ログデータの信頼性の低いネットワークトラフィックをリッスンしているときに逆シリアル化ガジェットと組み合わせて、任意のコードをリモートで実行するために悪用される可能性があります。これは、最大 1.2 最大 1.2.17 までの Log4j バージョンに影響します。
(CVE-2019-17571)

- Log4j 1.2の JMSAppender は、攻撃者が Log4j 構成への書き込みアクセス権を持つ場合、信頼できないデータの逆シリアル化に対して脆弱です。攻撃者が TopicBindingName および TopicConnectionFactoryBindingName 構成を提供することで、JMSAppender が JNDI リクエストを実行し、CVE-2021-44228 と同様の方法でリモートコード実行される可能性があります。注意: この問題は、デフォルトではない JMSAppender を使用するように特別に構成されている場合にのみ Log4j 1.2 に影響します。Apache Log4j 1.2 は、2015 年 8 月にサポートを終了しました。以前のバージョンからのその他の問題を多数対処しているため、ユーザーは Log4j 2 にアップグレードする必要があります。(CVE-2021-4104)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。