继本月上旬 Apache Log4j2 中的远程代码执行漏洞被首次曝光后,后续又有多个漏洞相继曝光,并在全球范围内造成了影响。
近日,Apache Log4j 日志库中又有另一个严重的远程代码执行漏洞被曝,被跟踪为 CVE-2021-44832,此漏洞由 Hideki Okamoto、Lederfein 以及另一位匿名漏洞研究人员独立发现。
CVE-2021-44832 是 Log4j 库中的第三个 RCE 和第四个漏洞,此外分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。
据介绍,CVE-2021-44832 表现为,Apache Log4j2 版本 2.0-beta7 到 2.17.0(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行 (RCE) 攻击,其中有权限修改日志配置文件的攻击者可以构建恶意配置,从而将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 Java 协议来解决。
值得注意的是,Log4j 1.x 不受此漏洞影响。受影响的用户可升级到 Log4j 2.3.2(适用于 Java 6)、2.12.4(适用于 Java 7)或 2.17.1(适用于 Java 8 及更高版本),以缓解该漏洞带来的影响。
据官方提示,只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。
【又又又来了!Apache Log4j 被曝本月第 4 个漏洞】另请注意,Apache Log4j 是唯一受此漏洞影响的日志服务子项目。Log4net 和 Log4cxx 等其他项目不受此影响。