Introducció
S’han identificat tres noves vulnerabilitats en la versió Log4j 1.x. El suport i manteniment oficial ja no es realitza per a aquesta versió [1].
Anàlisi
Les noves vulnerabilitats identificades són les següents:
CVE-2022-23302 [2]: JMSSink en totes les versions de Log4j 1.x és vulnerable a la deserialització de dades no de confiança quan l’atacant té accés d’escriptura a la configuració de Log4j o si la configuració fa referència a un servei LDAP al qual l’atacant té accés. L’atacant pot proporcionar una configuració TopicConnectionFactoryBindingName i fer que JMSSink realitze peticions JNDI que resulten en l’execució remota de codi de manera similar a CVE-2021-4104. Teniu en compte que aquest problema només afecta Log4j 1.x quan es configura específicament per a utilitzar JMSSink, que no és el predeterminat.
CVE-2022-23305 [3]: Per disseny, el JDBCAppender en Log4j 1.2.x accepta una sentència SQL com a paràmetre de configuració on els valors a inserir són convertidors de PatternLayout. És probable que el convertidor de missatges, %m, s’incloga sempre. Això permet als atacants manipular el SQL i introduir cadenes manipulades en els camps d’entrada o en les capçaleres d’una aplicació que es registren permetent l’execució de consultes SQL no desitjades. Teniu en compte que aquest problema només afecta Log4j 1.x quan es configura específicament per a utilitzar el JDBCAppender, que no és el predeterminat. A partir de la versió 2.0-beta8, el JDBCAppender va ser reintroduït amb el suport adequat per a consultes SQL parametritzades i una personalització major sobre les columnes escrites en els registres.
CVE-2022-23307 [4], CVE-2020-9493 [5]: va identificar un problema de deserialització que era present en Apatxe Chainsaw. Abans de Chainsaw V2.0, Chainsaw era un component d’Apatxe Log4j 1.2.x que té el mateix problema.
Recomanacions
Apatxe Log4j 1.x va arribar al final de la vida útil l’agost de 2015. Els usuaris haurien d’actualitzar a Log4j 2, ja que soluciona nombrosos problemes de les versions anteriors.
Referències
[1] Apatxe log4j 1.2 –[2] NVD – CVE-2022-23302 (nist.gov)
[3] NVD – CVE-2022-23305 (nist.gov)
[4] NVD – CVE-2022-23307 (nist.gov)
[5] NVD – CVE-2020-9493 (nist.gov)