12/29資訊更新  Log4j再傳RCE漏洞,Apache釋出2.17.1新版

 12/27資訊更新  Nvidia、HPE、IBM公布受Log4j漏洞影響的產品

 12/23資訊更新  CISA釋出掃瞄Log4j漏洞工具

周末IT人員可能忙著升級Log4j到2.16版,不過他們至少還需要再忙一趟,因為Apache軟體基金會又釋出了Log4j 2.17.0版來修補新的阻斷服務(Denial of Service,DoS)漏洞。

上周一釋出的Apache Log4j 2.16.0版是為了修補早先發現的漏洞。該漏洞被列為CVE-2021-45046,允許攻擊者輸入Log4j2 ThreadContext Map(MDC)資料時、使用非預設的Patten Layout改造成惡意查詢輸入,它原本被列為DoS漏洞,但隨後有Praetorian安全研究人員發現,Log4j漏洞(Log4Shell)能允許攻擊者在某些情況下外洩敏感資訊。周末CVE-2021-45046不再只被列DoS漏洞,而改成遠端程式碼執行(RCE),風險值由原本的3.9一舉調到9.0。

2.16.0還釋出不到一周,又被安全研究人員揭露有新漏洞,且是新的DoS漏洞。新漏洞編號CVE-2021-45105Apache說明在具有Thread Context Map查詢的變項中,以StrSubstitutor class${${::-${::-$${::-j}}}}代入,造成無限遞迴(infinite recursion),引發應用程式當掉。

根據美國NIST漏洞資料庫的描述,2.16.0(除了2.12.3外)無法防止自我參照(self-referential lookups)的查詢,使得具有Thread Context Map查詢指令控制權的攻擊者得以引發DoS攻擊。

CVE-2021-45105影響到上周的2.0- beta9到2.16版,CVSS 3.1風險值為7.5。最新釋出的2.17.0可以解決,2.12.3則不受影響。

如果企業使用的Log4j版本是1.2版,應注意上周末Apache還修補CVE-2021-4104遠端程式碼執行(RCE)漏洞,不過該版本僅影響1.2版,且已在2015年8月EoL(end of life),因此不會有修補程式。

 相關報導 

 12/16相關報導  Log4j 2.15.0修補不全、Apache再釋2.16.0新版,國家駭客已開始行動

 Log4j相關修補時間軸  【資安警訊】 Apache Log4j日誌框架系統重大漏洞

熱門新聞

Advertisement