漏洞资讯

Apache Log4j2远程代码执行预警(CVE-2021-44832)

2021-12-31 09:32:08 0

一、  漏洞描述

Apache Log4j 日志库中发现了另一个严重的远程代码执行漏洞,现在被跟踪为 CVE-2021-44832。

目前,Apache 团队已发布新的 Log4j 版本以修复新发现的这一漏洞。根据介绍,CVE-2021-44832 表现为,当攻击者控制配置时,Apache Log4j2 通过 JDBC Appender 容易受到 RCE 的攻击。

二、  漏洞详情

CVE-2021-44832  : Apache Log4j2远程代码执行漏洞

CVE: CVE-2021-44832 

组件: Apache Log4j2

漏洞类型: 代码问题

影响: 远程代码执行

简述:

攻击者可以通过修改配置文件中JNDI 动态及远程获取数据库源处插入恶意代码,造成远程代码执行漏洞,但想要成功利用该漏洞需要攻击者有权限修改Log4j2的配置文件,利用难度较高

                                             

三、  影响版本

组件

影响产品或系统版本

安全版本

Apache Log4j2

2.0-beta7 <= Apache Log4j2 <=2.3.1

2.4 <= Apache Log4j2 <= 2.12.3-rc1

2.13.0<= Apache Log4j2 <= 2.17.0

2.3.2-rc1

2.12.4-rc1

2.17.1-rc1

注:2.17.1支持Java 8及以上,2.12.4支持Java 7,2.3.2支持Java 6。

四、  安全版本

见三

五、  安全建议

通用修补建议:

厂商已发布安全版本,用户请尽快升级

https://logging.apache.org/log4j/2.x/download.html