在ApacheLog4j日志库中发现了另一个严重的远程代码执行漏洞,现在跟踪为CVE-2021-44832。这是Log4j库中的第三个RCE和第四个漏洞,紧随其后的是CVE-2021-44228(RCE)、CVE-2021-45046(RCE)和CVE-2021-45105(DoS攻击)。目前,Apache团队已经发布了新的Log4j版本来修复这个新发现的漏洞。根据介绍,CVE-2021-44832表现为ApacheLog4j2在攻击者控制配置时通过JDBCAppender易受RCE攻击。ApacheLog4j2版本2.0-beta7到2.17.0(不包括安全修复版本2.3.2和2.12.4)容易受到远程代码执行(RCE)攻击,其中具有修改日志记录配置文件权限的攻击者可以构建恶意的转换JDBCAppender的配置与引用启用远程代码执行的JNDIURI的数据源一起使用。此问题已通过将JNDI数据源名称限制为Log4j2版本2.17.1、2.12.4和2.3.2中的java协议得到解决。Log4j1.x不受此漏洞影响。受影响的用户可以升级到Log4j2.3.2(适用于Java6)、2.12.4(适用于Java7)或2.17.1(适用于Java8及更高版本)以缓解该漏洞。在以前的版本中,如果您使用的是JDBCAppender,请确保它没有配置为使用Java以外的任何协议。官方提示只有log4j-coreJAR文件受此漏洞影响。仅使用log4j-apiJAR文件而不使用log4j-coreJAR文件的应用程序不受此漏洞的影响。此外,ApacheLog4j是唯一受此漏洞影响的日志服务子项目。其他项目如Log4net和Log4cxx不受此影响。发布详细信息从版本2.17.1(以及Java7和Java6的2.12.4和2.3.2)开始,JDBCAppender将使用JndiManager并要求log4j2.enableJndiJdbc系统属性包含一个真值以启用JNDI。启用JNDI的属性已从“log4j2.enableJndi”重命名为三个单独的属性:log4j2.enableJndiLookup、log4j2.enableJndiJms和log4j2.enableJndiContextSelector。JNDI功能在以下版本中得到了增强:2.3.1、2.12.2、2.12.3或2.17.0。从这些版本开始,对LDAP协议的支持已被移除,JNDI连接仅支持JAVA协议。详细信息可以在这里找到。本文转自OSCHINA文章标题:ApacheLog4j出现新的远程代码执行漏洞
