周末IT人员可能忙着升级Log4j到2.16版,不过他们至少还需要再忙一趟,因为Apache软件基金会又发布了Log4j 2.17.0版来修补新的拒绝服务(Denial of Service,DoS)漏洞。
上周一发布的Apache Log4j 2.16.0版是为了修补早先发现的漏洞。该漏洞被列为CVE-2021-45046,允许攻击者输入Log4j2 ThreadContext Map(MDC)资料时、使用非默认的Patten Layout改造成恶意查询输入,它原本被列为DoS漏洞,但随后有Praetorian安全研究人员发现,Log4j漏洞(Log4Shell)能允许攻击者在某些情况下外泄敏感信息。周末CVE-2021-45046不再只被列DoS漏洞,而改成远程程序代码执行(RCE),风险值由原本的3.9一举调到9.0。
2.16.0还发布不到一周,又被安全研究人员披露有新漏洞,且是新的DoS漏洞。新漏洞编号CVE-2021-45105,Apache说明在具有Thread Context Map查询的变项中,以StrSubstitutor class${${::-${::-$${::-j}}}}代入,造成无限递归(infinite recursion),引发应用程序宕掉。
根据美国NIST漏洞数据库的描述,2.16.0(除了2.12.3外)无法防止自我参照(self-referential lookups)的查询,使得具有Thread Context Map查询指令控制权的攻击者得以引发DoS攻击。
CVE-2021-45105影响到上周的2.0- beta9到2.16版,CVSS 3.1风险值为7.5。最新发布的2.17.0可以解决,2.12.3则不受影响。
如果企业使用的Log4j版本是1.2版,应注意上周末Apache还修补CVE-2021-4104远程程序代码执行(RCE)漏洞,不过该版本仅影响1.2版,且已在2015年8月EoL(end of life),因此不会有修补程序。
12/16相关报道Log4j 2.15.0修补不全、Apache再释2.16.0新版,国家黑客已开始行动
Log4j相关修补时间轴《安全警讯》Apache Log4j日志框架系统重大漏洞