ICSLite产品关于ApacheLog4j远程代码执行漏洞维护公告.docxVIP

ICS Lite产品关于Apache Log4j远程代码执行漏洞的维护公告 TIME \@ yyyy-M-d 2022-1-12 华为保密信息,未经授权禁止扩散 第PAGE2页, 共 NUMPAGES \* Arabic 3页 ICS Lite产品关于Apache Log4j远程代码执行漏洞的维护公告 产品线 / 产品族/SPDT / 产品型号 ICS Lite 发布时间 2021-12-31 涉及版本 ICS Lite 20.2.325 ICS Lite 21.3.202109 ICS Lite 21.3.202109SPC001 操作类别 漏洞维护公告 漏洞信息概要 漏洞标题 HWPSIRT-2021-94301: Apache Log4j存在远程代码执行漏洞 HWPSIRT-2021-28415: Apache Log4j存在远程代码执行漏洞 HWPSIRT-2021-68486：Apache Log4j存在不受控的无限递归自解析漏洞 漏洞编号 HWPSIRT-2021-94301 HWPSIRT-2021-28415 HWPSIRT-2021-68486 CVE编号 HWPSIRT-2021-94301: CVE-2021-44228 HWPSIRT-2021-28415: CVE-2021-45046 HWPSIRT-2021-68486：CVE-2021-45105 原始CVSS分 HWPSIRT-2021-94301: 10.0 HWPSIRT-2021-28415: 9.0 HWPSIRT-2021-68486：5.9 严重等级评估后CVSS分 HWPSIRT-2021-94301: 9.8 HWPSIRT-2021-28415: 9.0 HWPSIRT-2021-68486：7.5 漏洞处理优先级 HWPSIRT-2021-94301: 1 HWPSIRT-2021-28415: 1 HWPSIRT-2021-68486：3 关键字：Apache Log4j2 , ICS Lite 摘 要：NA 【漏洞描述和背景介绍】 HWPSIRT-2021-94301：由于Apache Log4j2某些功能存在递归解析功能，未经身份验证的攻击者通过发送特别构造的数据请求包，可在目标服务器上执行任意代码。当前该漏洞评分为CVSS 9.8，漏洞编号为CVE-2021-44228。 HWPSIRT-2021-28415：由于Apache Log4j2某些功能存在递归解析功能，未经身份验证的攻击者通过发送特别构造的数据请求包，可在目标服务器上执行任意代码。当前该漏洞评分为CVSS 9.0，漏洞编号为CVE-2021-45046。 HWPSIRT-2021-68486：Apache Log4j 2.0-2.16.0版本（不含2.12.3）存在不受控的无限递归自解析的问题，攻击者向Thread Context Map中输入包含自解析的字符串可能导致拒绝服务。这个问题在2.17.0和2.12.3版本中修复。该问题代号为CVE-2021-45105，CVSS评分7.5。 【影响和风险】 HWPSIRT-2021-94301：成功利用这个漏洞最多可以导致远程执行任意代码。 HWPSIRT-2021-28415：成功利用这个漏洞最多可以导致远程执行任意代码。 HWPSIRT-2021-68486：成功利用这个漏洞可以导致拒绝服务。 【技术原因】 HWPSIRT-2021-94301：Apache Log4j某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。 HWPSIRT-2021-28415：Apache Log4j某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。 HWPSIRT-2021-68486：Apache Log4j 2.0-2.16.0版本（不含2.12.3）存在不受控的无限递归自解析的问题，攻击者向Thread Context Map中输入包含自解析的字符串可能导致拒绝服务。 【利用条件】 HWPSIRT-2021-94301：使用Apache Log4j组件将攻击者构造的数据记录日志。 HWPSIRT-2021-28415：使用Apache Log4j组件将攻击者构造的数据记录日志。 HWPSIRT-2021-68486：PatternLayout中存在的${ctx:使用方式。 【漏洞修补措施】 解决方案： 华为漏洞ID 受影响产品版本 产品解决版本 补丁/版本 发布时间 解决方案补充说明 HWPSIRT-2021-94301 ICS Lite 20.2.325、 ICS Lite 21.3.202109 NA NA 须升级到21.3.202109SPC00