Apache Log4j再釋出2.17版，修補DoS漏洞

周末IT人員可能忙著升級Log4j到2.16版，不過他們至少還需要再忙一趟，因為Apache軟體基金會又釋出了Log4j 2.17.0版來修補新的阻斷服務（Denial of Service，DoS）漏洞。

上周一釋出的Apache Log4j 2.16.0版是為了修補早先發現的漏洞。該漏洞被列為CVE-2021-45046，允許攻擊者輸入Log4j2 ThreadContext Map（MDC）資料時、使用非預設的Patten Layout改造成惡意查詢輸入，它原本被列為DoS漏洞，但隨後有Praetorian安全研究人員發現，Log4j漏洞（Log4Shell）能允許攻擊者在某些情況下外洩敏感資訊。周末CVE-2021-45046不再只被列DoS漏洞，而改成遠端程式碼執行（RCE），風險值由原本的3.9一舉調到9.0。

2.16.0還釋出不到一周，又被安全研究人員揭露有新漏洞，且是新的DoS漏洞。新漏洞編號CVE-2021-45105，Apache說明在具有Thread Context Map查詢的變項中，以StrSubstitutor class${${::-${::-$${::-j}}}}代入，造成無限遞迴（infinite recursion），引發應用程式當掉。

根據美國NIST漏洞資料庫的描述，2.16.0（除了2.12.3外）無法防止自我參照（self-referential lookups）的查詢，使得具有Thread Context Map查詢指令控制權的攻擊者得以引發DoS攻擊。

CVE-2021-45105影響到上周的2.0- beta9到2.16版，CVSS 3.1風險值為7.5。最新釋出的2.17.0可以解決，2.12.3則不受影響。

如果企業使用的Log4j版本是1.2版，應注意上周末Apache還修補CVE-2021-4104遠端程式碼執行（RCE）漏洞，不過該版本僅影響1.2版，且已在2015年8月EoL（end of life），因此不會有修補程式。

熱門新聞