摘要

AccessMatrix 使用的 Apache Log4j2 开源库中存在漏洞。但是,只有 AccessMatrix 5.6.5 及更高版本会受到 Log4j2 漏洞的影响。

因此,使用安讯奔的 AccessMatrix AM 服务器和其他 AM Web 应用(CLP / OAuthProxy / USO Server / USO SSF / UAS TAP) 5.6.5 或更高版本的客户,请留意本文的内容,以应对漏洞。

漏洞信息

AccessMatrix 5.6.5 或更高版本(即 5.6.5 到 5.7.1),捆绑了 Apache Log4j2 2.11.2 或更高版本。这些版本受最近的 Apache Log4j2 安全漏洞影响。在捆绑的 Apache Tomcat 部署中,受影响的版本默认与 Java 8 或更高版本捆绑在一起。 Apache 提供了补丁来解决 Log4j2 漏洞问题:

  • CVE-2021-44228 – AccessMatrix 5.6.5 或更高版本受到影响; Apache 已发布 Log4j2 2.15.0 作为永久补救措施,AccessMatrix 5.6.5 或更高版本支持将捆绑的 Log4j2 直接修补到此 Log4j2 2.15.0。
  • CVE-2021-45046 – AccessMatrix 5.x 默认不受影响; AccessMatrix 5.x 版日志配置不包括Context查找(如 ${ctx:loginId} 或 $${ctx:loginId})(备注:您可以前往 am5/WEB-INF/classes/amlog4j2.properties,查看它的内容以确认); Apache 已发布 Log4j2 2.16.0 作为永久补救措施。AccessMatrix 5.x 支持将捆绑的 Log4j2 直接修补到此 Log4j2 2.16.0。
  • CVE-2021-45105 – AccessMatrix 5.x 默认不受影响; AccessMatrix 5.x 版日志配置不包括Context查找(如 ${ctx:loginId} 或 $${ctx:loginId})(备注:您可以前往 am5/WEB-INF/classes/amlog4j2.properties,查看它的内容以确认); Apache 已发布 Log4j2 2.17.0 作为永久补救措施,AccessMatrix 5.x 支持将捆绑的 Log4j2 直接修补到此 Log4j2 2.17.0。

结论:

  • 对于AccessMatrix 5.6.5 或更高版本(使用Java 8 或更高版本),将AccessMatrix 捆绑的Log4j2 直接修补到17.0,这是对上述发布的安全漏洞的直接永久补救措施。
  • 对于AccessMatrix 5.6.5 或更高版本(使用Java 7 或更早版本),请咨询安讯奔的全球支持顾问。
  • 对于 AccessMatrix 5.6.4 或更早版本,不需要任何操作。

步骤说明

您应该首先找出当前的AccessMatrix 版本,以确定它是否受到上述Log4j2 漏洞的影响。如需查看版本,请访问 AccessMatrix 管理控制台,然后点击“帮助”->“关于”菜单选项,在 “关于 AccessMatrix”对话框中,会显示的当前 AM 服务器版本。

请点击下方链接,然后下载补丁文件:

如果您无法从上方链接下载补丁文件,请从 Apache 官网下载:https://www.apache.org/dyn/closer.lua/logging/log4j/2.17.0/apache-log4j-2.17.0-bin.zip

下载补丁文件后,请执行下方步骤:

  1. 对于在高可用性(HA)架构中运行的每个 AM服务器服务,请对每个服务器执行以下步骤。
  2. 停止 AM服务器服务。
  3. 从am5/WEB-INF/lib中删除以下三个文件(为了备份,必须将这三个文件移动到当前am5 web app文件夹之外的其它文件夹中):
    • oss-org-apache-log4j-core-2.12.0.jar 或 log4j-core-2.12.0.jar
    • oss-org-apache-log4j-api-2.12.0.jar或log4j-api-2.12.0.jar
    • oss-org-apache-log4j-1.2-api-2.12.0.jar或log4j-1.2-api-2.12.0.jar
  1. 将以下三个文件(从下载的补丁文件中获取)复制到am5/WEB-INF/lib:
    • oss-org-apache-log4j-core-2.17.0.jar
    • oss-org-apache-log4j-api-2.17.0.jar
    • oss-org-apache-log4j-1.2-api-2.17.0.jar

注意:如果您是从Apache官网下载​​补丁文件,则需要对上述三个文件进行相应的重命名。

  1. 如果有除“am5”以外的网络应用,请替换每个网络应用的 /WEB-INF/lib 文件夹中的 JAR 文件(请参阅第 3 步和第 4 步)。
  2. 如果您在之前的修补活动中应用了 JVM 参数“-Dlog4j2.noFormatMsgLookup=true”,则可以删除此 JVM 参数。
  3. 启动 AM 服务器服务。

如果您在下载补丁文件或执行上述步骤时遇到任何问题,请联系安讯奔:support@axbsec.com