Log4j
Уязвимости
42
Эксплуатируемые
2
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
16
Высокий
13
Средний
11
Низкий
2
Затронутые диапазоны версий
1.0.1–1.2.171.0.4–2.01.2–1.2.171.2–2.02.0.1–2.12.22.0.1–2.25.32.0.1–2.3.12.0.1–2.3.22.0–2.25.42.0–2.3.12.0–2.3.22.0–2.8.22.12.0–2.25.42.14.0–2.25.42.21.0–2.25.42.7–2.25.4≤ 1.2.17
Также сопоставлено как (исходные строки): log4j,chainsaw
Топ уязвимостей
BDU:2021-05969Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2 связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2021-05946Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять команды на хосте путем манипулирования обработанным входным потоком данных
CVE-2021-44228В Apache Log4j2 с 2.0-beta9 по 2.15.0 (исключая выпуски безопасности 2.12.2, 2.12.3 и 2.3.1) функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемых злоумышленником LDAP и других связанных с JNDI конечных точек. Злоумышленник, который может контролировать сообщения журнала или параметры сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. В log4j 2.15.0 это поведение отключено по умолчанию. В версии 2.16.0 (вместе с 2.12.2, 2.12.3 и 2.3.1) эта функция была полностью удалена. Обратите внимание, что эта уязвимость относится к log4j-core и не затрагивает log4net, log4cxx или другие проекты Apache Logging Services.
CVE-2020-9493В Apache Chainsaw версий до 2.1.0 обнаружена ошибка десериализации, которая может привести к выполнению вредоносного кода.
CVE-2019-17571В Log4j 1.2 включен класс SocketServer, который уязвим для десериализации ненадежных данных, что можно использовать для удаленного выполнения произвольного кода в сочетании с гаджетом десериализации при прослушивании ненадежного сетевого трафика для данных журнала. Это затрагивает версии Log4j до 1.2 до 1.2.17.
BDU:2023-07205Уязвимость адаптера JDBCAppender программы для журналирования Java-программ Log4j связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-запросы к базе данных
BDU:2022-01069Уязвимость библиотеки журналирования Java-программ Log4j связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2021-05506Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем манипулирования обработанным входным потоком данных
BDU:2021-05502Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать и выполнять произвольный код путем манипулирования обработанным входным потоком данных
BDU:2021-05501Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать и выполнять произвольный код с удаленного хоста путем манипулирования обработанным входным потоком данных
BDU:2021-05499Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать и выполнять произвольный код с удаленного хоста путем манипулирования обработанным входным потоком данных
BDU:2021-01051Уязвимость библиотеки журналирования Java-программ Log4j связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2020-02355Уязвимость библиотеки журналирования Java-программ Log4j связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2021-06161Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации и подменить объекты на стороне сервера путем манипулирования обработанным входным потоком данных
BDU:2021-05940Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать и выполнять произвольный код с удаленного хоста путем манипулирования обработанным входным потоком данных
BDU:2021-06204Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2 связана с ошибками при десериализации данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2022-23307CVE-2020-9493 выявила проблему десериализации, которая присутствовала в Apache Chainsaw. До Chainsaw V2.0 Chainsaw был компонентом Apache Log4j 1.2.x, где существует та же проблема.
CVE-2022-23305По замыслу, JDBCAppender в Log4j 1.2.x принимает оператор SQL в качестве параметра конфигурации, где значения для вставки являются преобразователями из PatternLayout. Конвертер сообщений, %m, скорее всего, всегда будет включен. Это позволяет злоумышленникам манипулировать SQL, вводя специально созданные строки в поля ввода или заголовки приложения, которые регистрируются, что позволяет выполнять непредусмотренные SQL-запросы. Обратите внимание, что эта проблема затрагивает только Log4j 1.x, когда он специально настроен для использования JDBCAppender, что не является значением по умолчанию. Начиная с версии 2.0-beta8, JDBCAppender был повторно представлен с надлежащей поддержкой параметризованных SQL-запросов и дальнейшей настройкой столбцов, записываемых в журналы. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует перейти на Log4j 2, поскольку он решает многочисленные другие проблемы предыдущих версий.
CVE-2022-23302JMSSink во всех версиях Log4j 1.x уязвим для десериализации ненадежных данных, когда злоумышленник имеет доступ на запись к конфигурации Log4j или если конфигурация ссылается на службу LDAP, к которой злоумышленник имеет доступ. Злоумышленник может предоставить конфигурацию TopicConnectionFactoryBindingName, в результате чего JMSSink выполнит JNDI-запросы, которые приведут к удаленному выполнению кода аналогично CVE-2021-4104. Обратите внимание, что эта проблема затрагивает только Log4j 1.x, если он специально настроен для использования JMSSink, что не является значением по умолчанию. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует перейти на Log4j 2, поскольку он решает многочисленные другие проблемы предыдущих версий.
BDU:2022-02946Уязвимость программы для журналирования Java-программ Log4j связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
BDU:2022-02763Уязвимость программы для журналирования Java-программ Log4j связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии
BDU:2021-05486Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию путем манипулирования обработанным входным потоком данных
CVE-2021-45046Было обнаружено, что исправление, направленное на решение проблемы CVE-2021-44228 в Apache Log4j 2.15.0, было неполным в некоторых нестандартных конфигурациях. Это может позволить злоумышленникам с контролем над данными ввода Thread Context Map (MDC), когда конфигурация логирования использует нестандартный Pattern Layout с либо Context Lookup (например, $${ctx:loginId}), либо шаблоном Thread Context Map (%X, %mdc или %MDC), создать вредоносные входные данные, используя шаблон JNDI Lookup, что приводит к утечке информации и удаленному выполнению кода в некоторых средах и локальному выполнению кода во всех средах. Log4j 2.16.0 (Java 8) и 2.12.2 (Java 7) исправляют эту проблему, удаляя поддержку шаблонов поиска сообщений и отключая функциональность JNDI по умолчанию.
CVE-2017-5645В Apache Log4j 2.x до 2.8.2, при использовании TCP-сокета или UDP-сокета для получения сериализованных событий журнала из другого приложения, можно отправить специально созданную двоичную полезную нагрузку, которая при десериализации может выполнить произвольный код.
CVE-2023-26464** НЕ ПОДДЕРЖИВАЕТСЯ, КОГДА ПРИСВОЕНО **
При использовании компонентов Chainsaw или SocketAppender с Log4j 1.x на JRE ниже 1.7 злоумышленник, которому удастся вызвать запись журнала с участием специально созданного (т.е. глубоко вложенного) hashmap или hashtable (в зависимости от используемого компонента журнала), который будет обработан, может исчерпать доступную память в виртуальной машине и вызвать отказ в обслуживании, когда объект будет десериализован.
Эта проблема затрагивает Apache Log4j до 2. Пользователям, затронутым данной проблемой, рекомендуется обновиться до Log4j 2.x.
ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются обслуживающим.