共计 739 个字符,预计需要花费 2 分钟才能阅读完成。
继本月上旬 Apache Log4j2 中的近程代码执行破绽被首次曝光后,后续又有多个破绽相继曝光,并在寰球范畴内造成了影响。
近日,Apache Log4j 日志库中又有另一个重大的近程代码执行破绽被曝,被跟踪为 CVE-2021-44832,此破绽由 Hideki Okamoto、Lederfein 以及另一位匿名破绽钻研人员独立发现。
CVE-2021-44832 是 Log4j 库中的第三个 RCE 和第四个破绽,此外别离是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻打)。
据介绍,CVE-2021-44832 体现为,Apache Log4j2 版本 2.0-beta7 到 2.17.0(不包含平安修复版本 2.3.2 和 2.12.4)容易受到近程代码执行 (RCE) 攻打,其中有权限批改日志配置文件的攻击者能够构建歹意配置,从而将 JDBC Appender 与援用 JNDI URI 的数据源一起应用,该 JNDI URI 能够执行近程代码。此问题已通过将 JNDI 数据源名称限度为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 Java 协定来解决。
值得注意的是,Log4j 1.x 不受此破绽影响。受影响的用户可降级到 Log4j 2.3.2(实用于 Java 6)、2.12.4(实用于 Java 7)或 2.17.1(实用于 Java 8 及更高版本),以缓解该破绽带来的影响。
据官网提醒,只有 log4j-core JAR 文件受此破绽影响。仅应用 log4j-api JAR 文件而不应用 log4j-core JAR 文件的应用程序不受此破绽的影响。
另请留神,Apache Log4j 是惟一受此破绽影响的日志服务子项目。Log4net 和 Log4cxx 等其余我的项目不受此影响。