漏洞风险提示（20211220）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Log4j2拒绝服务漏洞（CVE-2021-45105）
一、漏洞描述：
       
        Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架，并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI 组件等，通过定义每一条日志信息的级别，能够更加细致 地控制日志的生成过程。该日志框架被大量用于业务系统 开发，用来记录日志信息 每一条日志信息的级别，能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发，用来记录日志信息。
        Apache Log4j2 包含2.16.0在内的版本中没有防止来自自引用查找的不受控制的递归。当日志记录配置使用非默认的模式布局和上下文查找（例如，$${ctx：loginId}）时，控制线程上下文映射 （MDC） 输入数据的攻击者可以手工创建包含递归查找的恶意输入数据，从而导致 StackOverflowError 将终止进程。这也称为 DOS（拒绝服务）攻击。
二、风险等级：
          高危
三、影响范围：
        2.0-beta9 <= Apache Log4j <= 2.16.0
四、修复建议：
        官方已发布安全版本，请及时下载更新，下载地址：
        https://github.com/apache/logging-log4j2/tags
        注：Java8 的用户需要升级到 Apache Log4j 2.17.0版本，Java 7 的用户需要升级到Apache Log4j 2.12.2版本。

        临时修复建议
        Log4j 1.x 缓解：Log4j 1.x 不受此漏洞影响。
        Log4j 2.x 缓解：实施以下缓解技术。
        1. 在日志记录配置的 PatternLayout 中，将上下文查找（如 ${ctx：loginId} 或 $${ctx：loginId}）替换为线程上下文映射模式（%X、%mdc 或 %MDC）。       
        2. 否则，在配置中，删除对上下文查找的引用，如 ${ctx：loginId} 或 $${ctx：loginId}，其中它们源自应用程序外部的源，如 HTTP 标头或用户输入。
        请注意，只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。
        另请注意，Apache Log4j 是唯一受此漏洞影响的日志记录服务子项目。其他项目，如Log4net和Log4cxx不受此影响。

---

2 VMware Workspace ONE UEM console服务器端请求伪造漏洞（CVE-2021-22054）
一、漏洞描述：
       
        VMware Workspace ONE是一个强大的数字工作空间集成解决方案，包括访问管理、统一端点管理（UEM），分析，桌面和应用虚拟化以及端点安全。
        具有 UEM 网络访问权限的恶意行为者可以在未经身份验证的情况下发送他们的请求，并可能利用此问题来访问敏感信息。
二、风险等级：
          高危
三、影响范围：
        VMware Workspace ONE UEM console
        =2105
        =2102
        =2011
        =2008
四、修复建议：
        厂商已发布更新修复该漏洞，用户请尽快更新至安全版本，下载地址：
        https://customerconnect.vmware.c ... e-one-hol-uem-gs-22

---

3 Lenovo Vantage组件安全漏洞（CVE-2021-3922）
一、漏洞描述：
       
        Lenovo Vantage是中国联想（Lenovo）公司的一款计算机管理应用程序。该程序支持驱动程序更新、设备状态诊断和计算机配置等功能。
        Lenovo Vantage 组件存在安全漏洞，攻击者可利用 ImController 无法安全处理与特权子进程之间通信的安全问题，通过使用高性能文件系统同步例程与父进程连接到子进程的竞赛中赢得优先条件，从而导致发送的指令从文件系统上的任意位置加载“插件”。
二、风险等级：
          高危
三、影响范围：
        IMController < 1.1.20.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.lenovo.com/us/en/product_security/LEN-75210

---

4 Lenovo Vantage权限提升漏洞（CVE-2021-3969）
一、漏洞描述：
       
        Lenovo Vantage是中国联想（Lenovo）公司的一款计算机管理应用程序。该程序支持驱动程序更新、设备状态诊断和计算机配置等功能。
        Lenovo Vantage 组件存在安全漏洞，攻击者可利用 ImController 中子进程无法验证 XML 序列化命令的来源，通过暂停已验证的 ImControllerService 插件的加载过程并替换 DLL，最终释放锁并继续加载，导致 DLL 被执行并且提升权限。
二、风险等级：
          高危
三、影响范围：
        IMController < 1.1.20.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.lenovo.com/us/en/product_security/LEN-75210