Apache 发布了另一个 Log4j 版本 2.17.1,修复了 2.17.0 中新发现的远程代码执行 (RCE) 漏洞,编号为 CVE-2021-44832。
在今天之前,2.17.0 是 Log4j 的最新版本,被认为是最安全的升级版本,但现在这个建议已经演变。
一个月内五次Log4j CVE
攻击者对原始Log4Shell 漏洞(CVE-2021-44228) 的大规模利用始于 12 月 9 日左右,当时 GitHub 上出现了针对该漏洞的PoC 漏洞利用。
发现三个漏洞后,建议从2.16版迅速转向被认为是最安全的2.17.0 版。
现在发现第五个漏洞:一个 RCE 漏洞,被追踪为 CVE-2021-44832 已在 2.17.0 中发现,并在最新版本 2.17.1 中应用了一个补丁。
该漏洞的严重性评级为“中等”,CVSS 评分为 6.6,该漏洞源于缺乏对 log4j 中 JDNI 访问的额外控制:
- JDBC Appender 在访问 JNDI 时应该使用 JndiManager。JNDI 访问应该通过系统属性来控制。
- 与 CVE-2021-44832 相关,其中有权修改日志配置文件的攻击者可以使用 JDBC Appender 构建恶意配置,其中数据源引用可以执行远程代码的 JNDI URI。
已经看到 Conti 勒索软件团伙盯上了 易受攻击的 VMWare vCenter 服务器。而攻击者通过 log4shell 破坏越南加密平台 ONUS要求 500 万美元的赎金。
Log4j 用户应立即升级到最新 版本 2.17.1 (适用于 Java 8)。包含修复程序的反向移植版本 2.12.4 (Java 7) 和 2.3.2 (Java 6) 预计也将很快发布。