Apache Log4j 日志库中看到了另一个明显的远程控制执行命令漏洞,如今被追踪为 CVE-2021-44832。这也是 Log4j 库文件的第三个 RCE 和第四个漏洞,次之分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 进攻)。
现阶段,Apache 精英团队已公布新的 Log4j 版本以修补探索与发现的这一漏洞。依据详细介绍,CVE-2021-44832 主要表现为,当攻击者操纵配备时,Apache Log4j2 根据 JDBC Appender 非常容易遭受 RCE 的进攻。
Apache Log4j2 2.0-beta7 到 2.17.0 版本(不包括安全性修补版本 2.3.2 和 2.12.4)非常容易被远程控制执行命令(RCE)进攻,在其中有权利改动日志环境变量的攻击者可以搭建故意配备将 JDBC Appender 与引入 JNDI URI 的数据库一起应用,该 JNDI URI 可以实行远程控制编码。此问题已根据将 JNDI 数据库名字限定为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 协议书来处理。
Log4j 1.x 不受此漏洞影响。受影响的使用者可更新到 Log4j 2.3.2(适用于 Java 6)、2.12.4(适用于 Java 7)或 2.17.1(适用于 Java 8 及更高一些版本),以减轻该漏洞。
在过去的版本中,假如已经应用 JDBC Appender,请确定它沒有被配备为应用 Java 之外的一切协议书。官方网提示,仅有 log4j-core JAR 文档受此漏洞影响。仅应用 log4j-api JAR 文档而不应用 log4j-core JAR 文档的应用软件不受此漏洞的影响。此外,Apache Log4j 是唯一受此漏洞影响的日志服务项目单项工程。Log4net 和 Log4cxx 等别的新项目不受此影响。
公布详细信息
- 从版本 2.17.1(及其对于 Java 7 和 Java 6 的 2.12.4 和 2.3.2)逐渐,JDBC Appender 将应用 JndiManager,并规定 log4j2.enableJndiJdbc 系统属性包括 true 值以开启 JNDI。
- 启用 JNDI 的特性已从“log4j2.enableJndi”重新命名为三个独立的特性:log4j2.enableJndiLookup、log4j2.enableJndiJms 和 log4j2.enableJndiContextSelector。
- JNDI 作用已在下列版本中获得加强:2.3.1、2.12.2、2.12.3 或 2.17.0。从这种版本逐渐,已删除对 LDAP 协议书的适用,而且 JNDI 联接仅适用 JAVA 协议书。
详细信息可查询这里。
文中转自OSCHINA
本文文章标题:Apache Log4j 中发生新的远程控制执行命令漏洞
文中详细地址:https://www.oschina.net/news/176017/fourth-log4j-rce-vulnerability