漏洞风险提示（20211230）

发表于 2021-12-30 00:32

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 Apache Log4j2远程代码执行漏洞（CVE-2021-44832）
一、漏洞描述：

Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架，并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI 组件等，通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发，用来记录日志信息每一条日志信息的级别，能够更加细致地控制日志的生成过程。
近日，Apache官方发布了安全更新，修复了一个Apache Log4j2组件中存在的远程代码执行漏洞。漏洞编号：CVE-2021-44832，漏洞威胁等级：中危，漏洞评分：6.6。漏洞利用条件较苛刻，用户可选择性处理。Apache Log4j2 版本2.0-beta7到 2.17.0（不包括安全修复版本 2.3.2 和 2.12.4）容易受到远程代码执行 (RCE) 攻击，拥有修改日志配置文件权限的攻击者可以使用JDBC Appender构建恶意配置，其数据源引用JNDI URI，可以远程执行代码，但该漏洞利用需要配置文件jdbc连接可控。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 协议来解决。
请注意，只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。
Apache Log4j 是唯一受此漏洞影响的日志服务子项目。Log4net 和 Log4cxx 等其他项目不受此影响。
二、风险等级：
中危
三、影响范围：
2.0-beta7 <= Apache Log4j2 <= 2.17.0（不包括安全修复版本 2.3.2 和 2.12.4）
四、修复建议：
官方已发布安全版本，请及时下载更新，下载地址：
https://github.com/apache/logging-log4j2/tags

2 Gerapy操作系统命令注入漏洞（CVE-2021-43857）
一、漏洞描述：

Gerapy是一款基于Scrapy、Scrapyd、Django和Vue.js的分布式爬虫管理框架。
该漏洞源于软件对于系统命令缺少有效的过滤和转义，导致容易受到远程代码执行的影响。
二、风险等级：
高危
三、影响范围：
Gerapy < 0.9.8
四、修复建议：
厂商已发布补丁修复漏洞，用户请尽快更新至安全版本0.9.8。下载链接如下：
https://github.com/Gerapy/Gerapy/security/advisories/GHSA-9w7f-m4j4-j3xw

3 GoAhead文件上传漏洞（CVE-2021-42342）
一、漏洞描述：

GoAhead是美国Embedthis Software公司的一个开源的小型嵌入式 Web 服务器。
GoAhead存在文件上传漏洞，该漏洞源于在文件上传过滤器中过滤处理的不全。攻击者可利用此漏洞将不受信任的环境变量导入到脆弱的CGI脚本。
二、风险等级：
高危
三、影响范围：
GoAhead web-server = 4.x
5.x <= GoAhead web-server < 5.1.5
四、修复建议：
厂商已发布补丁修复漏洞，用户请尽快更新至安全版本GoAhead 5.1.5。下载链接如下：
https://github.com/embedthis/goahead

4 TP-Link TL-WR802N命令注入漏洞（CVE-2021-4144）
一、漏洞描述：

TP-Link TL-WR802N是中国普联（TP-Link）公司的一个无线路由器。
该产品容易受到操作系统命令注入的影响。任何可以登录受影响产品的Web界面的用户都可以执行任何操作系统命令。
二、风险等级：
高危
三、影响范围：
TP-Link TL-WR802N V4(JP) < 211202
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.tp-link.com/en/support/download/tl-wr802n/#Firmware

		自动登录	找回密码
密码			注册创意安天