Apache Log4j2遠(yuǎn)程代碼執(zhí)行預(yù)警(CVE-2021-44832)

 漏洞資訊     |      2021-12-31

一、  漏洞描述

Apache Log4j 日志庫中發(fā)現(xiàn)了另一個嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞,現(xiàn)在被跟蹤為 CVE-2021-44832。

目前,Apache 團(tuán)隊已發(fā)布新的 Log4j 版本以修復(fù)新發(fā)現(xiàn)的這一漏洞。根據(jù)介紹,CVE-2021-44832 表現(xiàn)為,當(dāng)攻擊者控制配置時,Apache Log4j2 通過 JDBC Appender 容易受到 RCE 的攻擊。

二、  漏洞詳情

CVE-2021-44832  : Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞

CVE: CVE-2021-44832 

組件: Apache Log4j2

漏洞類型: 代碼問題

影響: 遠(yuǎn)程代碼執(zhí)行

簡述:

攻擊者可以通過修改配置文件中JNDI 動態(tài)及遠(yuǎn)程獲取數(shù)據(jù)庫源處插入惡意代碼,造成遠(yuǎn)程代碼執(zhí)行漏洞,但想要成功利用該漏洞需要攻擊者有權(quán)限修改Log4j2的配置文件,利用難度較高

                                             

三、  影響版本

組件

影響產(chǎn)品或系統(tǒng)版本

安全版本

Apache Log4j2

2.0-beta7 <= Apache Log4j2 <=2.3.1

2.4 <= Apache Log4j2 <= 2.12.3-rc1

2.13.0<= Apache Log4j2 <= 2.17.0

2.3.2-rc1

2.12.4-rc1

2.17.1-rc1

注:2.17.1支持Java 8及以上,2.12.4支持Java 7,2.3.2支持Java 6。

四、  安全版本

見三

五、  安全建議

通用修補(bǔ)建議:

廠商已發(fā)布安全版本,用戶請盡快升級

https://logging.apache.org/log4j/2.x/download.html