編號CVE-2021-44832的漏洞,影響Log4j 2.0-beta7 到最新的2.17.0版本,更新版2.3.2及2.12.4版則不受影響。這項漏洞CVSS風險值6.6、屬中度風險漏洞。Apache軟體基金會已分別針對Java 8、7及6釋出最新版本2.17.1、2.12.4及2.3.2版,呼籲用戶儘速升級。

Log4j維護社群並未在新年假期間休息。Apache軟體基金會昨日(12/28)釋出Log4j 2.17.1版本,以修補最新爆出的遠端程式碼執行(RCE)漏洞。

編號CVE-2021-44832的漏洞出在未能控管JDNI查詢指令的過程,有權修改日誌組態檔的攻擊者,可利用參照JNDI URI的資料源從其中元件JDBC Appender設定惡意組態,進而執行遠端程式碼。

這項漏洞影響版本2.0-beta7 到最新的2.17.0(除了更新版2.3.2及2.12.4版本)外。所幸CVE-2021-44832屬於CVSS風險值6.6的中度風險漏洞。Apache軟體基金會已分別針對Java 8、7及6釋出最新版本2.17.1、2.12.4及2.3.2版,並呼籲用戶儘速升級。

Apache軟體基金會並未說明漏洞發現者身分,但疑似是一家提供軟體元件分析的安全業者Checkmarx公司。Checkmarx公司研究人員Yaniv Nizry 與代號的Liad Levy在今(29)日也釋出了概念驗證程式(PoC)示範影片

這是Log4j從12月10日後公布的第4項漏洞。其中CVE-2021-44228CVE-2021-45046為風險值10.0及9.0的RCE漏洞,CVE-2021-45105則為高度風險阻斷服務攻擊(DoS)漏洞,CVE-2021-4104僅影響1.2版。其中CVE-2021-44228及CVE-2021-45046已經被安全廠商偵測到有開採活動,包括勒索軟體Conti攻擊VMware vCenter,比利時國防部也證實內部系統的CVE-2021-44228遭到攻擊,致部分服務斷線數天。

 相關報導 


熱門新聞

Advertisement