Log4j一个月内第五次漏洞:请升级到2.17.1版本!

21-12-29 banq

Apache 发布了另一个 Log4j 版本 2.17.1,修复了 2.17.0 中新发现的远程代码执行 (RCE) 漏洞,编号为 CVE-2021-44832。

在今天之前,2.17.0 是 Log4j 的最新版本,被认为是最安全的升级版本,但现在这个建议已经演变。

 

一个月内五次Log4j CVE

攻击者对原始Log4Shell 漏洞(CVE-2021-44228) 的大规模利用始于 12 月 9 日左右,当时 GitHub 上出现了针对该漏洞的PoC 漏洞利用。

发现三个漏洞后,建议从2.16版迅速转向被认为是最安全的2.17.0 版

现在发现第五个漏洞:一个 RCE 漏洞,被追踪为 CVE-2021-44832 已在 2.17.0 中发现,并在最新版本 2.17.1 中应用了一个补丁。

该漏洞的严重性评级为“中等”,CVSS 评分为 6.6,该漏洞源于缺乏对 log4j 中 JDNI 访问的额外控制:

  • JDBC Appender 在访问 JNDI 时应该使用 JndiManager。JNDI 访问应该通过系统属性来控制。
  • 与 CVE-2021-44832 相关,其中有权修改日志配置文件的攻击者可以使用 JDBC Appender 构建恶意配置,其中数据源引用可以执行远程代码的 JNDI URI。

已经看到 Conti 勒索软件团伙盯上了 易受攻击的 VMWare vCenter 服务器。而攻击者通过 log4shell 破坏越南加密平台 ONUS要求 500 万美元的赎金。 

Log4j 用户应立即升级到最新 版本 2.17.1  (适用于 Java 8)。包含修复程序的反向移植版本 2.12.4 (Java 7) 和 2.3.2 (Java 6) 预计也将很快发布。

 

1
猜你喜欢