Apache 软件基金会周二推出了新补丁,以修复包含 Log4j 中的任意代码执行漏洞,攻击者可以利用该漏洞在受影响的系统上运行恶意代码,这是一个月以来 Log4j 中发现的第 5 个安全漏洞。
新发现的漏洞编号为 CVE-2021-44832,CVSS评分为 6.6,影响日志库的所有版本,从 2.0-alpha7 到 2.17.0,但 2.3.2 和 2.12.4 除外。虽然 Log4j 版本 1.x 不受影响,但建议用户升级到 Log4j 2.3.2(适用于 Java 6)、2.12.4(适用于 Java 7)或 2.17.1(适用于 Java 8 及更高版本)。
根据中国网络安全行业门户「极牛网」GEEKNB.COM的梳理,Apache Log4j2 版本 2.0-beta7 到 2.17.0(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行 (RCE) 攻击,其中有权修改日志配置文件的攻击者可以构建恶意使用带有引用 JNDI URI 的数据源的 JDBC Appender 进行配置,该 JNDI URI 可以执行远程代码,通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 协议来解决此问题。
此漏洞的复杂性高于原始 CVE-2021-44228,因为它要求攻击者控制配置,与 Logback 不同,在 Log4j 中,有一个功能可以加载远程配置文件或通过代码配置记录器,因此可以通过 anMitM 攻击实现任意代码执行,用户输入以易受攻击的配置变量结束,或修改配置文件。
自本月初 Log4Shell漏洞曝光以来,项目维护人员已经修复了 Log4j 中的四个问题:
- CVE-2021-44228(CVSS 评分:10.0) – 影响 Log4j 版本从 2.0-beta9 到 2.14.1 的远程代码执行漏洞(在 2.15.0 版本中修复)
- CVE-2021-45046(CVSS 评分:9.0) – 一个信息泄漏和远程代码执行漏洞,影响从 2.0-beta9 到 2.15.0 的 Log4j 版本,不包括 2.12.2(在 2.16.0 版本中修复)
- CVE-2021-45105(CVSS 评分:7.5) – 一个影响从 2.0-beta9 到 2.16.0 的 Log4j 版本的拒绝服务漏洞(在 2.17.0 版中修复)
- CVE-2021-4104(CVSS 评分:8.1) – 影响 Log4j 1.2 版的不受信任的反序列化缺陷(无可用修复,升级到 2.17.1 版)
与此同时,来自澳大利亚、加拿大、新西兰、英国和美国的网络安全机构发布了联合警告,警告大规模利用 Apache 的 Log4j 软件库中多个漏洞的威胁。
极牛网精选文章《Apache Log4j爆出第 5 个安全漏洞,影响该日志库的所有版本》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/17607.html