又又又来了!Apache Log4j 被曝本月第 4 个漏洞

snakesss
English

继本月上旬 Apache Log4j2 中的远程代码执行漏洞被首次曝光后,后续又有多个漏洞相继曝光,并在全球范围内造成了影响。

近日,Apache Log4j 日志库中又有另一个严重的远程代码执行漏洞被曝,被跟踪为 CVE-2021-44832,此漏洞由 Hideki Okamoto、Lederfein 以及另一位匿名漏洞研究人员独立发现。

CVE-2021-44832 是 Log4j 库中的第三个 RCE 和第四个漏洞,此外分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。

据介绍,CVE-2021-44832 表现为,Apache Log4j2 版本 2.0-beta7 到 2.17.0(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行 (RCE) 攻击,其中有权限修改日志配置文件的攻击者可以构建恶意配置,从而将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 Java 协议来解决。

值得注意的是,Log4j 1.x 不受此漏洞影响。受影响的用户可升级到 Log4j 2.3.2(适用于 Java 6)、2.12.4(适用于 Java 7)或 2.17.1(适用于 Java 8 及更高版本),以缓解该漏洞带来的影响。

据官方提示,只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。

另请注意,Apache Log4j 是唯一受此漏洞影响的日志服务子项目。Log4net 和 Log4cxx 等其他项目不受此影响。

阅读 1k

SegmentFault_行业快讯
第一时间为开发者提供行业相关的实时热点资讯

SegmentFault 思否编辑,欢迎投稿优质技术资讯!

1.1k 声望
229 粉丝
0 条评论

SegmentFault 思否编辑,欢迎投稿优质技术资讯!

1.1k 声望
229 粉丝
文章目录
宣传栏