一、 漏洞描述
Apache Log4j 日志库中发现了另一个严重的远程代码执行漏洞,现在被跟踪为 CVE-2021-44832。
目前,Apache 团队已发布新的 Log4j 版本以修复新发现的这一漏洞。根据介绍,CVE-2021-44832 表现为,当攻击者控制配置时,Apache Log4j2 通过 JDBC Appender 容易受到 RCE 的攻击。
二、 漏洞详情
CVE-2021-44832 : Apache Log4j2远程代码执行漏洞
CVE: CVE-2021-44832
组件: Apache Log4j2
漏洞类型: 代码问题
影响: 远程代码执行
简述:
攻击者可以通过修改配置文件中JNDI 动态及远程获取数据库源处插入恶意代码,造成远程代码执行漏洞,但想要成功利用该漏洞需要攻击者有权限修改Log4j2的配置文件,利用难度较高
三、 影响版本
组件 | 影响产品或系统版本 | 安全版本 |
Apache Log4j2 | 2.0-beta7 <= Apache Log4j2 <=2.3.1 2.4 <= Apache Log4j2 <= 2.12.3-rc1 2.13.0<= Apache Log4j2 <= 2.17.0 | 2.3.2-rc1 2.12.4-rc1 2.17.1-rc1 |
注:2.17.1支持Java 8及以上,2.12.4支持Java 7,2.3.2支持Java 6。
四、 安全版本
见三
五、 安全建议
通用修补建议:
厂商已发布安全版本,用户请尽快升级
https://logging.apache.org/log4j/2.x/download.html