12月28日,ASF推出了包含Log4j中任意代码执行漏洞的新补丁,该漏洞能够让攻击者在受影响的系统上滥用恶意代码。这是一个月内该工具中发现的第五个安全漏洞。
该漏洞被跟踪为CVE-2021-44832,严重性等级为6.6,等级10,影响日志库的所有版本,从2.0-alpha7到2.17.0,但2.3.2和2.12.4除外。虽然Log4j版本1.x不受影响,但建议用户升级到Log4j 2.3.2(适用于Java 6)、2.12.4(适用于Java 7)或2.17.1(适用于Java 8及更高版本)。
“Apache Log4j2版本2.0-beta7 到2.17.0(不包括安全修复版本2.3.2和2.12.4)容易收到远程代码执行(RCE)攻击,其中有权修改日志配置文件的攻击者可以构建恶意使用带有引用JNDI URI的数据源的JDBC Appender进行配置,该JNDI URI可以执行远程代码,“ASF在一份公告中说。“通过将JNDI数据源名称限制为Log4j2版本2.17.1、2.12.4和2.3.2中的java协议来解决这个问题。”
Checkmarx安全研究院Yaniv Nizry声称在12月27日向Apache报告该漏洞而获得荣誉。
“这个漏洞的复杂性高于原本的CVE-2021-44228,因为它要求攻击者控制配置,”Nizry指出。“与Logback不同,在Log4j中有一个功能可以加载远程配置文件或通过代码配置记录器,因此可以通过MitM攻击实现任意代码执行,用户输入的下场是易受攻击的配置变量,或修改配置文件。”
通过最新的修复,自本月初Log4Shell漏洞曝光以来,项目维护人员已经解决Log4j中的四个问题,更不用说影响Log4j 1.2版本的第五个漏洞暂将不会修复——
· CVE-2021-44228 (CVSS评分:10.0) 影响Log4j版本从2.0-beta9 到 2.14.1 的远程代码执行漏洞(在2.15.0版本中修复)
· CVE-2021-45046 (CVSS评分:9.0) 一个信息泄漏和远程代码执行漏洞,影响从2.9-beta9 到 2.15.0 的 Log4j 版本,不包括 2.12.2 (在2.16.0版本中修复)
· CVE-2021-45105(CVSS评分:7.5) 一个影响从2.0-beta9 到2.16.0 的Log4j 版本的拒绝服务漏洞(在2.17.0版本中修复)
· CVE-2021-4104(CVSS评分:8.1) 影响Log4j 1.2版的不受信任的反序列化缺陷(无可用修复;升级到2.17.1版)
与此同时,来自澳大利亚、加拿大、新西兰、英国和美国的情报机构对恶意攻击者大规模利用Apache Log4j软件库中的多个漏洞发布了联合警告。
原文始发于微信公众号(山石网科安全技术研究院):为修复新漏洞,发布Apache Log4j更新
评论