安全公告 - 关于Apache Log4j2漏洞的声明
- 预警编号:huawei-sn-20211210-01-log4j2
- 初始发布时间: 2021年12月10日
- 更新发布时间: 2021年12月23日
华为注意到Apache官网从12月9日起,披露了Apache Log4j2远程代码执行漏洞CVE-2021-44228,后又陆续披露了CVE-2021-45046和CVE-2021-45105漏洞。
这些漏洞可被远程利用,对于直接暴露于互联网的设备,建议立即实施防火墙等防护机制。如果您部署了华为NGFW(下一代防火墙)或者数据中心防火墙产品,可以升级IPS特征库至2021年12月22日发布的最新版本(IPS_H20011000_2021122200)以检测和防护来自于网络层面的攻击。
华为正在持续调查,本公告信息基于华为迄今为止的调查结果发布,可能会发生变化,华为PSIRT会随时更新此安全公告,请持续关注。
针对已经发布了修复版本的产品,华为会发布并持续更新安全通告(SA),SA链接:https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20211215-01-log4j-cn
常见问题:
1. Log4j2的3个漏洞的影响是什么?
12月9日:Apache Log4j2部分版本因JNDI功能保护不足,可能导致JNDI功能滥用,漏洞编号为CVE-2021-44228;
12月14日:该漏洞为 CVE-2021-44228 修复的绕过,在某些特殊配置的情况下,仍可能导致JNDI功能滥用,漏洞编号为CVE-2021-45046;
12月18日:在Apache Log4j2部分版本中,自引用查找存在无限递归的缺陷,漏洞编号为CVE-2021-45105。
有关这些漏洞的描述,请参阅Apache Log4j2 安全漏洞页面:https://logging.apache.org/log4j/2.x/security.html
2. 华为哪些产品受这些漏洞影响?
华为采用业界通用标准,基于华为产品集成第三方软件的方式和场景,对这些漏洞进行严重等级评估,以反映漏洞的真实影响。截止目前,对于华为产品直接使用Log4j2软件的场景,均已完成评估。
Log4j2作为一个底层开源软件,被Apache Solr、Apache Flink等大量的其他开源软件以及华为的供应商所使用,我们也在积极同社区和供应商沟通和合作,以进一步评估对华为产品的潜在影响。
在整个漏洞处理过程中,华为会严格控制漏洞信息的范围,仅在处理漏洞的相关人员之间传递。基于减少伤害和降低风险的原则,具体受影响情况,运营商客户请联系运营商TAC,企业客户请联系企业TAC,合作伙伴可登录Support-E网站自助查询。
3. 华为将如何支撑您进行漏洞消减?
华为首要任务是尽快提供补丁/版本以修补这些漏洞,优先升级至Apache Log4j 2.17.0以彻底解决漏洞问题。截止目前,几乎所有受影响的华为产品都已制定修补计划或已完成修补,同时大部分产品也提供了临时缓解措施以降低漏洞影响。具体修补计划和缓解措施指导,运营商客户请联系运营商TAC,企业客户请联系企业TAC,合作伙伴可登录Support-E网站自助查询。
同时,华为建议您基于风险评估,采用适当的安全防护措施,消减漏洞影响。对于直接暴露于互联网的资产,建议立即部署防火墙、WAF、RASP等防护机制,并及时部署对应产品的缓解措施以降低漏洞影响,最后通过部署修补漏洞的补丁/版本以彻底修复漏洞。对于内网资产,建议基于资产重要程度、威胁信息和严重等级等维度进行风险评估,优先部署RASP等防护机制和产品的缓解措施,待产品补丁/版本发布后,再逐步部署修补漏洞的补丁/版本。
如果您部署了华为NGFW(下一代防火墙)或者数据中心防火墙产品,可以升级IPS特征库至2021年12月22日发布的最新版本(IPS_H20011000_2021122200)以检测和防护来自于网络层面的攻击。如果您是云上租户,华为已提供了检测、拦截等安全防护云服务,且为进一步帮助云上租户消减风险,华为为云上租户提供为期1个月的免费WAF防护服务,帮助客户做好应用防御,为该漏洞修复争取时间。
4. 对于EOS的产品,华为是否会提供支撑?
华为专注于为未EOS的产品提供补丁/版本更新,不会在安全公告中呈现已EOS的版本信息。
5. 华为是否感知到漏洞被利用的情况?
华为PSIRT已感知到,业界已公开了针对Apache Log4j2漏洞的利用代码,建议运营商客户联系运营商TAC,企业客户联系企业TAC,合作伙伴登录Support-E网站获取消减建议。
华为自身IT网络已经在第一时间采用防火墙、WAF、RASP等安全防护机制来保护系统和网络。截至目前,华为尚未在华为网络上检测到任何利用此漏洞的成功尝试。
6. 华为云服务是否有影响?
华为云服务第一时间通过WAF等安全防护机制保护系统和网络,截止目前,所有的攻击尝试均被拦截,云服务正常运行。
面向云上租户,华为第一时间向租户发布了漏洞通知,并提供了检测、拦截等安全防护云服务。为进一步帮助云上租户消减风险,还为云上租户提供为期1个月的免费WAF防护服务,帮助客户做好应用防御,为该漏洞的修复争取时间。
2021-12-23 V1.5 更新稿 增加TAC等超链接、刷新安全公告描述
2021-12-23 V1.4 更新稿 刷新IPS签名、增加通用问题等信息
2021-12-16 V1.3 更新稿 刷新IPS签名说明并增加SA链接
2021-12-16 V1.2 更新稿 增加对CVE-2021-45046漏洞的关注说明
2021-12-14 V1.1 更新稿 增加IPS签名
2021-12-10 V1.0 首稿
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
客户可以通过华为TAC (Huawei Technical Assistance Center)寻求关于产品安全漏洞的必要支持。TAC的联系方式见链接:http://www.huawei.com/cn/psirt/report-vulnerabilities。
