技術(shù)編輯：典典丨發(fā)自 思否編輯部

公眾號：SegmentFault

---

繼本月上旬 Apache Log4j2 中的遠(yuǎn)程代碼執(zhí)行漏洞被首次曝光后，后續(xù)又有多個漏洞相繼曝光，并在全球范圍內(nèi)造成了影響。

近日，Apache Log4j 日志庫中又有另一個嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞被曝，被跟蹤為 CVE-2021-44832，此漏洞由 Hideki Okamoto、Lederfein 以及另一位匿名漏洞研究人員獨立發(fā)現(xiàn)。

CVE-2021-44832 是 Log4j 庫中的第三個 RCE 和第四個漏洞，此外分別是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE)?和 CVE-2021-45105 (DoS 攻擊)。

據(jù)介紹，CVE-2021-44832 表現(xiàn)為，Apache Log4j2 版本 2.0-beta7 到 2.17.0（不包括安全修復(fù)版本 2.3.2 和 2.12.4）容易受到遠(yuǎn)程代碼執(zhí)行 (RCE) 攻擊，其中有權(quán)限修改日志配置文件的攻擊者可以構(gòu)建惡意配置，從而將 JDBC Appender 與引用 JNDI URI 的數(shù)據(jù)源一起使用，該 JNDI URI 可以執(zhí)行遠(yuǎn)程代碼。此問題已通過將 JNDI 數(shù)據(jù)源名稱限制為 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 Java 協(xié)議來解決。

值得注意的是，Log4j 1.x 不受此漏洞影響。受影響的用戶可升級到 Log4j 2.3.2（適用于 Java 6）、2.12.4（適用于 Java 7）或 2.17.1（適用于 Java 8 及更高版本），以緩解該漏洞帶來的影響。

據(jù)官方提示，只有 log4j-core JAR 文件受此漏洞影響。僅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的應(yīng)用程序不受此漏洞的影響。

另請注意，Apache Log4j 是唯一受此漏洞影響的日志服務(wù)子項目。Log4net 和 Log4cxx 等其他項目不受此影響。

相關(guān)閱讀：

• 高危 Bug！Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞細(xì)節(jié)曝光：官方正在修復(fù)中

• Log4j 高危 Bug 已修復(fù)！維護者：“為了實現(xiàn)向后兼容性未刪除舊功能而導(dǎo)致漏洞”

• Apache Log4j 被曝第 3 個漏洞:不受控遞歸 | Apache 官方已發(fā)布 2.17 版本修復(fù)

- END -