【漏洞公告】
近日,监测到Apache Log4j 2官方发布补丁以解决新的远程代码执行漏洞(CVE-2021-44832)。根据官方描述,有权限修改日志配置文件的攻击者可以构建恶意数据造成JNDI注入实现远程代码执行。该漏洞利用条件极其苛刻,请大家不必惊慌,但是由于Apache Log4j 2应用较为广泛,建议使用该组件的用户尽快采取安全措施。
参考链接:https://lists.apache.org/thread/s1o5vlo78ypqxnzn6p8zf6t9shtq5143
当前漏洞状态
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
是 | 已公开 | 已公开 | 未知 |
【影响范围】
漏洞影响版本:
从2.0-beta7到2.17.0的所有Log4j版本(Log4j 1.x 暂时不受此漏洞影响。)
当前安全版本:
2.17.1,2.3.2,2.12.4
已验证该漏洞的可利用性:
【漏洞描述】
CVE-2021-44832:Apache Log4j2 版本 2.0-beta7 到 2.17.0容易受到远程代码执行攻击,其中有权限修改日志配置文件的攻击者可以构建恶意数据造成将JDBC Appender与引用 JNDI URI 的数据源一起使用,该JNDI URI可造成执行远程代码。此问题已通过将JNDI数据源名称限制为Log4j2版本2.17.1、2.12.4 和 2.3.2 中的java协议来解决。
【缓解措施】
中危:目前漏洞POC已被公开,官方已发布安全版本,建议使用该组件的用户尽快采取安全措施。
处置:
1、升级Apache Log4j 2至最新安全版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.17.1-rc1
