Eap7-log4j
Уязвимости
10
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.99999
Распределение по критичности
Критический
1
Высокий
6
Средний
3
Низкий
0
Также сопоставлено как (исходные строки): eap7-log4j
Топ уязвимостей
CVE-2021-44906Minimist <=1.2.5 уязвим для загрязнения прототипа через файл index.js, функцию setKey() (строки 69-95).
CVE-2022-23307CVE-2020-9493 выявила проблему десериализации, которая присутствовала в Apache Chainsaw. До Chainsaw V2.0 Chainsaw был компонентом Apache Log4j 1.2.x, где существует та же проблема.
CVE-2022-23305По замыслу, JDBCAppender в Log4j 1.2.x принимает оператор SQL в качестве параметра конфигурации, где значения для вставки являются преобразователями из PatternLayout. Конвертер сообщений, %m, скорее всего, всегда будет включен. Это позволяет злоумышленникам манипулировать SQL, вводя специально созданные строки в поля ввода или заголовки приложения, которые регистрируются, что позволяет выполнять непредусмотренные SQL-запросы. Обратите внимание, что эта проблема затрагивает только Log4j 1.x, когда он специально настроен для использования JDBCAppender, что не является значением по умолчанию. Начиная с версии 2.0-beta8, JDBCAppender был повторно представлен с надлежащей поддержкой параметризованных SQL-запросов и дальнейшей настройкой столбцов, записываемых в журналы. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует перейти на Log4j 2, поскольку он решает многочисленные другие проблемы предыдущих версий.
CVE-2022-23302JMSSink во всех версиях Log4j 1.x уязвим для десериализации ненадежных данных, когда злоумышленник имеет доступ на запись к конфигурации Log4j или если конфигурация ссылается на службу LDAP, к которой злоумышленник имеет доступ. Злоумышленник может предоставить конфигурацию TopicConnectionFactoryBindingName, в результате чего JMSSink выполнит JNDI-запросы, которые приведут к удаленному выполнению кода аналогично CVE-2021-4104. Обратите внимание, что эта проблема затрагивает только Log4j 1.x, если он специально настроен для использования JMSSink, что не является значением по умолчанию. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует перейти на Log4j 2, поскольку он решает многочисленные другие проблемы предыдущих версий.
CVE-2021-45046Было обнаружено, что исправление, направленное на решение проблемы CVE-2021-44228 в Apache Log4j 2.15.0, было неполным в некоторых нестандартных конфигурациях. Это может позволить злоумышленникам с контролем над данными ввода Thread Context Map (MDC), когда конфигурация логирования использует нестандартный Pattern Layout с либо Context Lookup (например, $${ctx:loginId}), либо шаблоном Thread Context Map (%X, %mdc или %MDC), создать вредоносные входные данные, используя шаблон JNDI Lookup, что приводит к утечке информации и удаленному выполнению кода в некоторых средах и локальному выполнению кода во всех средах. Log4j 2.16.0 (Java 8) и 2.12.2 (Java 7) исправляют эту проблему, удаляя поддержку шаблонов поиска сообщений и отключая функциональность JNDI по умолчанию.
CVE-2022-25647Пакет com.google.code.gson:gson до версии 2.8.9 уязвим для десериализации ненадежных данных через метод writeReplace() во внутренних классах, что может привести к атакам типа "отказ в обслуживании".
CVE-2021-4104JMSAppender в Log4j 1.2 уязвим для десериализации ненадежных данных, когда злоумышленник имеет доступ на запись к конфигурации Log4j. Злоумышленник может предоставить конфигурации TopicBindingName и TopicConnectionFactoryBindingName, заставляя JMSAppender выполнять JNDI-запросы, которые приводят к удаленному выполнению кода аналогично CVE-2021-44228. Обратите внимание, что эта проблема затрагивает только Log4j 1.2, когда он специально настроен на использование JMSAppender, что не является настройкой по умолчанию. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует обновить Log4j 2, поскольку он решает множество других проблем из предыдущих версий.
CVE-2021-44832Apache Log4j2 версий 2.0-beta7 - 2.17.0 (исключая выпуски исправлений безопасности 2.3.2 и 2.12.4) уязвим для атак удаленного выполнения кода (RCE), когда конфигурация использует JDBC Appender с URI источника данных JNDI LDAP, когда злоумышленник контролирует целевой LDAP-сервер. Эта проблема устранена путем ограничения имен источников данных JNDI протоколом java в Log4j2 версий 2.17.1, 2.12.4 и 2.3.2.
CVE-2021-45105Версии Apache Log4j2 с 2.0-alpha1 по 2.16.0 (исключая 2.12.3 и 2.3.1) не защищали от неконтролируемой рекурсии из самоссылающихся просмотров. Это позволяет злоумышленнику, контролирующему данные Thread Context Map, вызвать отказ в обслуживании при интерпретации специально созданной строки. Эта проблема была исправлена в Log4j 2.17.0, 2.12.3 и 2.3.1.
CVE-2022-24823Netty — это платформа сетевых приложений с открытым исходным кодом, управляемая асинхронными событиями. Пакет `io.netty:netty-codec-http` до версии 4.1.77.Final содержит недостаточное исправление для CVE-2021-21290. При использовании многокомпонентных декодеров Netty может произойти раскрытие локальной информации через локальный системный временный каталог, если включено временное хранение загрузок на диске. Это влияет только на приложения, работающие на Java версии 6 и ниже. Кроме того, эта уязвимость влияет на код, работающий в Unix-подобных системах, и на очень старые версии Mac OSX и Windows, поскольку все они совместно используют системный временный каталог между всеми пользователями. Версия 4.1.77.Final содержит исправление для этой уязвимости. В качестве обходного решения укажите свой собственный `java.io.tmpdir` при запуске JVM или используйте DefaultHttpDataFactory.setBaseDir(...), чтобы установить каталог доступным для чтения только текущим пользователем.