12/29資訊更新 Log4j再傳RCE漏洞,Apache釋出2.17.1新版
12/27資訊更新 Nvidia、HPE、IBM公布受Log4j漏洞影響的產品
周末IT人員可能忙著升級Log4j到2.16版,不過他們至少還需要再忙一趟,因為Apache軟體基金會又釋出了Log4j 2.17.0版來修補新的阻斷服務(Denial of Service,DoS)漏洞。
上周一釋出的Apache Log4j 2.16.0版是為了修補早先發現的漏洞。該漏洞被列為CVE-2021-45046,允許攻擊者輸入Log4j2 ThreadContext Map(MDC)資料時、使用非預設的Patten Layout改造成惡意查詢輸入,它原本被列為DoS漏洞,但隨後有Praetorian安全研究人員發現,Log4j漏洞(Log4Shell)能允許攻擊者在某些情況下外洩敏感資訊。周末CVE-2021-45046不再只被列DoS漏洞,而改成遠端程式碼執行(RCE),風險值由原本的3.9一舉調到9.0。
2.16.0還釋出不到一周,又被安全研究人員揭露有新漏洞,且是新的DoS漏洞。新漏洞編號CVE-2021-45105,Apache說明在具有Thread Context Map查詢的變項中,以StrSubstitutor class${${::-${::-$${::-j}}}}代入,造成無限遞迴(infinite recursion),引發應用程式當掉。
根據美國NIST漏洞資料庫的描述,2.16.0(除了2.12.3外)無法防止自我參照(self-referential lookups)的查詢,使得具有Thread Context Map查詢指令控制權的攻擊者得以引發DoS攻擊。
CVE-2021-45105影響到上周的2.0- beta9到2.16版,CVSS 3.1風險值為7.5。最新釋出的2.17.0可以解決,2.12.3則不受影響。
如果企業使用的Log4j版本是1.2版,應注意上周末Apache還修補CVE-2021-4104遠端程式碼執行(RCE)漏洞,不過該版本僅影響1.2版,且已在2015年8月EoL(end of life),因此不會有修補程式。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03