Log4J2经过几个版本的更新,终于是稳住了,但是还是有漏洞没堵住,导致出现新的远程代码执行漏洞,这个漏洞编号为CVE-2021-44832(这是 Log4j 库中的第三个 RCE 和第四个漏洞,其他几个分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击))。
攻击者通过修改日志配置文件,可以构建恶意配置并将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,最终造成远程代码执行。
影响版本:从 2.0-alpha7 到 2.17.0 的所有版本,不包括 2.3.2 和 2.12.4,Log4j 1.x 不受此漏洞影响。
危害等级:中
自从出现漏洞后,Apache是不遗余力在修复,昨天又又又又发布了一个新的版本,2.17.1!修复了上面的CVE-2021-44832漏洞,同时也清理了一波无用的方法,解决了不少BUG(可能漏洞修复得紧急,留下了一些BUG和无用代码吧~)。
发布详情
从版本 2.17.1(以及针对 Java 7 和 Java 6 的 2.12.4 和 2.3.2)开始,JDBC Appender 将使用 JndiManager,并要求 log4j2.enableJndiJdbc 系统属性包含 true 值以启用 JNDI。
启用 JNDI 的属性已从“log4j2.enableJndi”重命名为三个单独的属性:log4j2.enableJndiLookup、log4j2.enableJndiJms 和 log4j2.enableJndiContextSelector。
JNDI 功能已在以下版本中得到强化:2.3.1、2.12.2、2.12.3 或 2.17.0。从这些版本开始,已删除对 LDAP 协议的支持,并且 JNDI 连接仅支持 JAVA 协议。
CVE-2021-44832漏洞修复方案:
升级log4j2 到2.17.1 (2.12.4, and 2.3.2、Log4j 1.x 不受影响)。
2.17.1最新版本下载:
关注研磨架构公众号,回复log,快速获取最新版本,包括最新的Jar包和最新的Maven依赖(不好找),以及详细升级的步骤。
请点个在看,分享出去让更多人知晓~
近期其他热点文章:
我的微信,欢迎加我交流技术:
原文始发于微信公众号(研磨架构):稳住!Apache Log4j 又出现新的远程代码执行漏洞!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论