Log4j一個月內第五次漏洞:請升級到2.17.1版本!

banq發表於2021-12-29

Apache 釋出了另一個 Log4j 版本 2.17.1,修復了 2.17.0 中新發現的遠端程式碼執行 (RCE) 漏洞,編號為 CVE-2021-44832。
在今天之前,2.17.0 是 Log4j 的最新版本,被認為是最安全的升級版本,但現在這個建議已經演變。
 

一個月內五次Log4j CVE
攻擊者對原始Log4Shell 漏洞(CVE-2021-44228) 的大規模利用始於 12 月 9 日左右,當時 GitHub 上出現了針對該漏洞的PoC 漏洞利用。
發現三個漏洞後,建議從2.16版迅速轉向被認為是最安全的2.17.0 版
現在發現第五個漏洞:一個 RCE 漏洞,被追蹤為 CVE-2021-44832 已在 2.17.0 中發現,並在最新版本 2.17.1 中應用了一個補丁。
該漏洞的嚴重性評級為“中等”,CVSS 評分為 6.6,該漏洞源於缺乏對 log4j 中 JDNI 訪問的額外控制:

  • JDBC Appender 在訪問 JNDI 時應該使用 JndiManager。JNDI 訪問應該透過系統屬性來控制。
  • 與 CVE-2021-44832 相關,其中有權修改日誌配置檔案的攻擊者可以使用 JDBC Appender 構建惡意配置,其中資料來源引用可以執行遠端程式碼的 JNDI URI。


已經看到 Conti 勒索軟體團伙盯上了 易受攻擊的 VMWare vCenter 伺服器。而攻擊者透過 log4shell 破壞越南加密平臺 ONUS要求 500 萬美元的贖金。 
Log4j 使用者應立即升級到最新 版本 2.17.1  (適用於 Java 8)。包含修復程式的反向移植版本 2.12.4 (Java 7) 和 2.3.2 (Java 6) 預計也將很快釋出。

 

相關文章