又又又来了！Apache Log4j 被曝本月第 4 个漏洞

继本月上旬 Apache Log4j2 中的远程代码执行漏洞被首次曝光后，后续又有多个漏洞相继曝光，并在全球范围内造成了影响。

近日，Apache Log4j 日志库中又有另一个严重的远程代码执行漏洞被曝，被跟踪为 CVE-2021-44832，此漏洞由 Hideki Okamoto、Lederfein 以及另一位匿名漏洞研究人员独立发现。

CVE-2021-44832 是 Log4j 库中的第三个 RCE 和第四个漏洞，此外分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。

据介绍，CVE-2021-44832 表现为，Apache Log4j2 版本 2.0-beta7 到 2.17.0（不包括安全修复版本 2.3.2 和 2.12.4）容易受到远程代码执行 (RCE) 攻击，其中有权限修改日志配置文件的攻击者可以构建恶意配置，从而将 JDBC Appender 与引用 JNDI URI 的数据源一起使用，该 JNDI URI 可以执行远程代码。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 Java 协议来解决。

值得注意的是，Log4j 1.x 不受此漏洞影响。受影响的用户可升级到 Log4j 2.3.2（适用于 Java 6）、2.12.4（适用于 Java 7）或 2.17.1（适用于 Java 8 及更高版本），以缓解该漏洞带来的影响。

据官方提示，只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。

另请注意，Apache Log4j 是唯一受此漏洞影响的日志服务子项目。Log4net 和 Log4cxx 等其他项目不受此影响。