Apache Log4j Core's Rfc5424Layout https://logging.apache.org/log4j/2.x/manual/layouts.html#RFC5424Layout, в версиях 2.21.0-2.25.3, уязвим д…
Apache Log4j Core's Rfc5424Layout https://logging.apache.org/log4j/2.x/manual/layouts.html#RFC5424Layout, в версиях 2.21.0-2.25.3, уязвим для инъекций журнала через последовательности CRLF из-за недокументированных переименов в атрибуты конфигурации, соответствующие безопасности. Две различные проблемы затрагивают пользователей потоковых сервисов syslog, которые настраивают Rfc5424Layout напрямую: * Новый атрибут LineEscape был бесшумно переименован, в результате чего новая линия перестала работать для пользователей TCP-кадрования (RFC 6587), подвергая их воздействию инъекций CRLF в бревно-выпуске. * Атрибут useTlsMessageFormat был бесшумно переименован, в результате чего пользователи обрамления TLS (RFC 5425) были молча понижены до нерамного TCP (RFC 6587), без выхода новой линии. Пользователи SyslogAppender не затронуты, так как его настройки атрибуты не были изменены. Пользователям рекомендуется обновиться до Apache Log4j Core 2.25.4, что исправляет эту проблему.
Продукт формирует сообщение журнала из внешних входных данных, однако не нейтрализует или некорректно нейтрализует специальные элементы при записи сообщения в файл журнала.
https://cwe.mitre.org/data/definitions/117.html →Открыть в коллекции CWE →Атаки типа «Фальсификация журналов веб-сервера» предполагают внедрение, удаление или иное изменение содержимого журналов веб-сервера злоумышленником, как правило, с целью сокрытия других вредоносных действий. Кроме того, запись вредоносных данных в файлы журналов может быть направлена против задач, фильтров, отчётов и других агентов, обрабатывающих журналы в асинхронном шаблоне атаки. Данный шаблон атаки схож с «Внедрением/фальсификацией/подделкой журналов», за исключением того, что в данном случае атака направлена на журналы веб-сервера, а не приложения.
https://capec.mitre.org/data/definitions/81.html →Открыть в коллекции CAPEC →Данная атака направлена против файлов журналов целевого узла. Злоумышленник внедряет, модифицирует или фальсифицирует вредоносные записи в файле журнала, что позволяет ему ввести в заблуждение аудитора журнала, скрыть следы атаки или осуществить иные вредоносные действия. Целевой узел не обеспечивает надлежащего контроля доступа к журналам. В результате скомпрометированные данные попадают в файлы журналов, что приводит к нарушению подотчётности, неотказуемости и возможностей криминалистической экспертизы инцидентов.
https://capec.mitre.org/data/definitions/93.html →Открыть в коллекции CAPEC →Злоумышленник внедряет, изменяет, удаляет или фальсифицирует вредоносные записи в файле журнала с целью ввести в заблуждение аудит этого журнала или скрыть следы атаки. Вследствие недостаточного контроля доступа к файлам журнала или к механизму журналирования злоумышленник способен выполнять подобные действия.
https://capec.mitre.org/data/definitions/268.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| apache-log4j1.2 | Отслеживается | |
| apache-log4j2 | Отслеживается | |
| log4j | * | Отслеживается |