Apache Log4j 日志庫中發現了另一個嚴重的遠程代碼執行漏洞，現在被跟蹤為 CVE-2021-44832。這是 Log4j 庫中的第三個 RCE 和第四個漏洞，其次分別是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻擊)。

[[442838]]

目前，Apache 團隊已發布新的 Log4j 版本以修復新發現的這一漏洞。根據介紹，CVE-2021-44832 表現為，當攻擊者控制配置時，Apache Log4j2 通過 JDBC Appender 容易受到 RCE 的攻擊。

Apache Log4j2 2.0-beta7 到 2.17.0 版本(不包括安全修復版本 2.3.2 和 2.12.4)容易受到遠程代碼執行(RCE)攻擊，其中有權修改日志配置文件的攻擊者可以構建惡意配置將 JDBC Appender 與引用 JNDI URI 的數據源一起使用，該 JNDI URI 可以執行遠程代碼。此問題已通過將 JNDI 數據源名稱限制為 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 協議來解決。

Log4j 1.x 不受此漏洞影響。受影響的用戶可升級到 Log4j 2.3.2(適用于 Java 6)、2.12.4(適用于 Java 7)或 2.17.1(適用于 Java 8 及更高版本)，以緩解該漏洞。

在以前的版本中，如果正在使用 JDBC Appender，請確認它沒有被配置為使用 Java 以外的任何協議。官方提醒，只有 log4j-core JAR 文件受此漏洞影響。僅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的應用程序不受此漏洞的影響。另外，Apache Log4j 是唯一受此漏洞影響的日志服務子項目。Log4net 和 Log4cxx 等其他項目不受此影響。

發布詳情

• 從版本 2.17.1(以及針對 Java 7 和 Java 6 的 2.12.4 和 2.3.2)開始，JDBC Appender 將使用 JndiManager，并要求 log4j2.enableJndiJdbc 系統屬性包含 true 值以啟用 JNDI。
• 啟用 JNDI 的屬性已從“log4j2.enableJndi”重命名為三個單獨的屬性：log4j2.enableJndiLookup、log4j2.enableJndiJms 和 log4j2.enableJndiContextSelector。
• JNDI 功能已在以下版本中得到強化：2.3.1、2.12.2、2.12.3 或 2.17.0。從這些版本開始，已刪除對 LDAP 協議的支持，并且 JNDI 連接僅支持 JAVA 協議。

詳情可查看此處。

本文轉自OSCHINA

本文標題：Apache Log4j 中出現新的遠程代碼執行漏洞

本文地址：https://www.oschina.net/news/176017/fourth-log4j-rce-vulnerability