Apache Log4j爆出第 5 个安全漏洞，影响该日志库的所有版本

Apache 软件基金会周二推出了新补丁，以修复包含 Log4j 中的任意代码执行漏洞，攻击者可以利用该漏洞在受影响的系统上运行恶意代码，这是一个月以来 Log4j 中发现的第 5 个安全漏洞。

新发现的漏洞编号为 CVE-2021-44832，CVSS评分为 6.6，影响日志库的所有版本，从 2.0-alpha7 到 2.17.0，但 2.3.2 和 2.12.4 除外。虽然 Log4j 版本 1.x 不受影响，但建议用户升级到 Log4j 2.3.2（适用于 Java 6）、2.12.4（适用于 Java 7）或 2.17.1（适用于 Java 8 及更高版本）。

根据中国网络安全行业门户「极牛网」GEEKNB.COM的梳理，Apache Log4j2 版本 2.0-beta7 到 2.17.0（不包括安全修复版本 2.3.2 和 2.12.4）容易受到远程代码执行 (RCE) 攻击，其中有权修改日志配置文件的攻击者可以构建恶意使用带有引用 JNDI URI 的数据源的 JDBC Appender 进行配置，该 JNDI URI 可以执行远程代码，通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 协议来解决此问题。

此漏洞的复杂性高于原始 CVE-2021-44228，因为它要求攻击者控制配置，与 Logback 不同，在 Log4j 中，有一个功能可以加载远程配置文件或通过代码配置记录器，因此可以通过 anMitM 攻击实现任意代码执行，用户输入以易受攻击的配置变量结束，或修改配置文件。

自本月初 Log4Shell漏洞曝光以来，项目维护人员已经修复了 Log4j 中的四个问题：

• CVE-2021-44228（CVSS 评分：10.0） – 影响 Log4j 版本从 2.0-beta9 到 2.14.1 的远程代码执行漏洞（在 2.15.0 版本中修复）
• CVE-2021-45046（CVSS 评分：9.0） – 一个信息泄漏和远程代码执行漏洞，影响从 2.0-beta9 到 2.15.0 的 Log4j 版本，不包括 2.12.2（在 2.16.0 版本中修复）
• CVE-2021-45105（CVSS 评分：7.5） – 一个影响从 2.0-beta9 到 2.16.0 的 Log4j 版本的拒绝服务漏洞（在 2.17.0 版中修复）
• CVE-2021-4104（CVSS 评分：8.1） – 影响 Log4j 1.2 版的不受信任的反序列化缺陷（无可用修复，升级到 2.17.1 版）

与此同时，来自澳大利亚、加拿大、新西兰、英国和美国的网络安全机构发布了联合警告，警告大规模利用 Apache 的 Log4j 软件库中多个漏洞的威胁。