漏洞详情
Apache Log4j Core 2.0-beta9 至 2.25.2 版本中的 Socket Appender,即使在 verifyHostName 配置属性或 log4j2.sslVerifyHostName 系统属性设置为 true 的情况下,也不执行对等证书的 TLS 主机名验证。
潜在风险
此问题可能在以下条件下允许中间人攻击者拦截或重定向日志流量:
- 攻击者能够拦截或重定向客户端与日志接收器之间的网络流量。
- 攻击者可以出示一份由 Socket Appender 配置的信任存储(或者,如果未配置自定义信任存储,则由默认的 Java 信任存储)所信任的证书颁发机构签发的服务器证书。
解决方案
建议用户升级至 Apache Log4j Core 版本 2.25.3,该版本已修复此问题。 作为替代的缓解措施,可以将 Socket Appender 配置为使用私有或受限制的信任根,以限制可信任证书的范围。
影响范围
- 受影响版本:>= 2.0-beta9, < 2.25.3
- 已修复版本:2.25.3
- 严重性评级:中等 (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:L/SA:N)