繼本月上旬 Apache Log4j2 中的遠端程式碼執行漏洞被首次曝光後,後續又有多個漏洞相繼曝光,並在全球範圍內造成了影響。
近日,Apache Log4j 日誌庫中又有另一個嚴重的遠端程式碼執行漏洞被曝,被跟蹤為 CVE-2021-44832,此漏洞由 Hideki Okamoto、Lederfein 以及另一位匿名漏洞研究人員獨立發現。
CVE-2021-44832 是 Log4j 庫中的第三個 RCE 和第四個漏洞,此外分別是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻擊)。
據介紹,CVE-2021-44832 表現為,Apache Log4j2 版本 2.0-beta7 到 2.17.0(不包括安全修復版本 2.3.2 和 2.12.4)容易受到遠端程式碼執行 (RCE) 攻擊,其中有許可權修改日誌配置檔案的攻擊者可以構建惡意配置,從而將 JDBC Appender 與引用 JNDI URI 的資料來源一起使用,該 JNDI URI 可以執行遠端程式碼。此問題已通過將 JNDI 資料來源名稱限制為 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 Java 協議來解決。
值得注意的是,Log4j 1.x 不受此漏洞影響。受影響的使用者可升級到 Log4j 2.3.2(適用於 Java 6)、2.12.4(適用於 Java 7)或 2.17.1(適用於 Java 8 及更高版本),以緩解該漏洞帶來的影響。
據官方提示,只有 log4j-core JAR 檔案受此漏洞影響。僅使用 log4j-api JAR 檔案而不使用 log4j-core JAR 檔案的應用程式不受此漏洞的影響。
另請注意,Apache Log4j 是唯一受此漏洞影響的日誌服務子專案。Log4net 和 Log4cxx 等其他專案不受此影響。