[資安]Apache Log4j日誌框架系統重大漏洞（CVE-2021-44228）修補建議

# [資安]Apache Log4j日誌框架系統重大漏洞（CVE-2021-44228）修補建議自從Log4j編號為CVE-2021-44228漏洞公開之後，身為公司資安代表和軟體工程師，~~被這件事折磨了好久，寫一篇筆記以玆紀念。~~ ###### tags: `資安` `Spring` `Vmware` `工作筆記` `資料來源：https://www.ithome.com.tw/news/148337` `https://ithelp.ithome.com.tw/articles/10203313` ## 漏洞說明編號為CVE-2021-44228的日誌框架系統Apache Log4j重大漏洞，肇因於某些功能存在遞迴解析功能，存在JNDI注入漏洞，而攻擊者可直接發出惡意請求，觸發遠端程式碼執行漏洞。 ![](https://i.imgur.com/VuD1Jb1.png) ## 影響程度此漏洞經由CVSS 3.0漏洞評分系統評估為10分（最嚴重為10分），屬重大危險等級的漏洞。 ![](https://i.imgur.com/dO6NUsN.png) ## 學會如何判別漏洞的嚴重等級以Log4j的編號為CVE-2021-44228漏洞舉例，來看懂CVSS 3.0漏洞評分系統是如何評估的： 1. 可以由CVE（英語：Common Vulnerabilities and Exposures）又稱通用漏洞披露、常見漏洞與披露，是一個與資訊安全有關的資料庫，收集各種資安弱點及漏洞並給予編號以便於公眾查閱。https://cve.mitre.org/cve/search_cve_list.html ![](https://i.imgur.com/jKWlY6K.png) 2. 可由連結查看NVD(英語：NATIONAL VULNERABILITY DATABASE)的弱點詳情。可以看到`Base Score: 10.0 CRITICAL` `Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H` ![](https://i.imgur.com/ynRv4LC.png) ![](https://i.imgur.com/9VT0l3h.png) 3. 進入該網址 https://www.first.org/cvss/calculator/3.1 ，可以看到弱點評分之計算機。 ![](https://i.imgur.com/CNFgN7W.png) 接著介紹基本矩陣群，他以8個面向來進行評分，並得出一個0.0～10.0分的分數，分數越高代表漏洞危險程度越高： --- > * 攻擊向量 (Attack Vector, AV) > Network (N)：由網際網路網路進行攻擊 > Adjacent (A)：由受限制的網路進行攻擊，如區域網路及藍芽等 > Local (L)：在不連接網路的狀況下進行攻擊 > Physical \(P\)：需接觸到實體機器才能進行攻擊 --- > * 攻擊複雜度 (Attack Complexity, AC) > Low (L)：低，攻擊可被輕易重現 > High (H)：高，須由攻擊者達成數項條件後才能成功 --- > * 是否需要提權 (Privileges Required, PR) > None (N)：不需要 > Low (L)：需要一般使用者權限 > High (H)：需要管理者權限 --- > * 是否需要使用者操作 (User Interaction, UI) > None (N)：不需要 > Required \(R\)：需要使用者操作某些動作才能讓攻擊成功 --- > * 影響範圍 (Scope, S) > Unchanged (U) ：僅影響含有漏洞的元件本身 > Changed \(C\)：會影響到含有漏洞的元件以外的元件 --- > * 機密性影響 (Confidentiality, C) > None (N)：無影響 > Low (L)：攻擊者可以取得機密資料，但無法使用該資料 > High (H)：攻擊者可以取得機密資料，且可以使用該資料 --- > * 完整性影響(Integrity, I) > None (N) ：無影響 > Low (L) ：攻擊者有部分權限以竄改某些資料，對含有漏洞之元件影響較小 > High (H)：攻擊者有權限竄改所有資料，對含有漏洞之元件有嚴重影響 --- > * 可用性影響 (Availability, A) > None (N)：無影響 > Low (L)：可用性受到影響，導致服務或元件仍可被部分取得，或是時好時壞 > High (H)：可用性受到嚴重影響，導致服務或元件完全不可被取得 --- 我們將Log4j的編號為CVE-2021-44228漏洞特性帶入計算機，即可得出評分等級： `Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H` ![](https://i.imgur.com/CVITN1q.png) ## 修補方向 ### 產品類型 – 本身會有直接風險建議盡速更新 – 如Vmware、Cisco – Google 產品名稱+弱點編號 – https://github.com/cisagov/log4j-affected-db * #### Vmware修補示範 1. Googel 搜尋 vmware CVE-2021-44832 ![](https://i.imgur.com/XIbRmXx.png) 2. 進入網站點選連結，往下拉找到各產品版本的修補檔案下載頁面 ![](https://i.imgur.com/nuwoXPb.png) ![](https://i.imgur.com/mRuIBRc.png) ### 函式庫本身 – 本身沒有直接受駭風險 – 開發的成品使用了具有弱點的函式庫就會引發問題建議評估升版 – Google 函式庫名稱+弱點編號 * #### SpringBoot專案修補示範見另一篇筆記：https://hackmd.io/sN0k_bdaRsWbHily99LJSg # **The End**