Log4j维护社群并未在新年假期间休息。Apache软件基金会昨日(12/28)发布Log4j 2.17.1版本,以修补最新爆出的远程程序代码执行(RCE)漏洞。
编号CVE-2021-44832的漏洞出在未能管控JDNI查询指令的过程,有权修改日志组态档的攻击者,可利用参照JNDI URI的资料源从其中组件JDBC Appender设置恶意组态,进而执行远程程序代码。
这项漏洞影响版本2.0-beta7到最新的2.17.0(除了更新版2.3.2及2.12.4版本)外。所幸CVE-2021-44832属于CVSS风险值6.6的中度风险漏洞。Apache软件基金会已分别针对Java 8、7及6发布最新版本2.17.1、2.12.4及2.3.2版,并呼吁用户尽快升级。
Apache软件基金会并未说明漏洞发现者身份,但疑似是一家提供软件组件分析的安全企业Checkmarx公司。Checkmarx公司研究人员Yaniv Nizry与代号的Liad Levy在今(29)日也发布了概念验证程序(PoC)及示范视频。
这是Log4j从12月10日后公布的第4项漏洞。其中CVE-2021-44228及CVE-2021-45046为风险值10.0及9.0的RCE漏洞,CVE-2021-45105则为高度风险拒绝服务攻击(DoS)漏洞,CVE-2021-4104仅影响1.2版。其中CVE-2021-44228及CVE-2021-45046已经被安全厂商侦测到有开采活动,包括勒索软件Conti攻击VMware vCenter,比利时国防部也证实内部系统的CVE-2021-44228遭到攻击,致部分服务断线数天。