一、 漏洞 CVE-2020-9488 基础信息
漏洞信息
                                        # N/A

## 概述
Apache Log4j SMTP appender 存在一个证书验证不当的问题,导致主机不匹配时未正确验证证书。这可能会使 SMTPS 连接遭受中间人攻击,泄露通过该 appender 发送的日志消息。

## 影响版本
- Apache Log4j 2.12.3 之前的版本
- Apache Log4j 2.13.1 之前的版本

## 细节
该漏洞源于 Apache Log4j SMTP appender 中对证书的验证不当,当存在主机名不匹配时,未进行正确的验证。这种情况可能导致 SMTPS 连接被中间人攻击截获,从而泄露通过 appender 发送的日志消息。

## 影响
该漏洞可能导致日志消息被中间人攻击者截获,进而泄露敏感信息,包括系统操作、安全设置及潜在的内部信息等。已在 Apache Log4j 2.12.3 和 2.13.1 版本中修复该漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Improper validation of certificate with host mismatch in Apache Log4j SMTP appender. This could allow an SMTPS connection to be intercepted by a man-in-the-middle attack which could leak any log messages sent through that appender. Fixed in Apache Log4j 2.12.3 and 2.13.1
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Log4j 信任管理问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。 Apache Log4j 中存在信任管理问题漏洞,该漏洞源于SmtpAppender没有验证主机名称与SMTPS连接的SSL/TLS证书是否匹配。攻击者可通过实施中间人攻击利用该漏洞拦截SMTPS连接,获取日志消息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信任管理问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-9488 的公开POC
# POC 描述 源链接 神龙链接
1 Demo of CVE-2020-9488: Unsafe logging with Log4j and remediation https://github.com/arsalanraja987/java-log4j-cve-2020-9488 POC详情
三、漏洞 CVE-2020-9488 的情报信息
四、漏洞 CVE-2020-9488 的评论

暂无评论

发表评论