在 Log4j 漏洞曝光之后,Apache 軟件基金會于上周二發(fā)布了修補后的 2.17.0 新版本���,并于周五晚些發(fā)布了一個新補丁����。官方承認 2.16 版本無法在查找評估中妥善防止無限遞歸�,因而易受 CVE-2021-451...
在 Log4j 漏洞曝光之后,Apache 軟件基金會于上周二發(fā)布了修補后的 2.17.0 新版本�����,并于周五晚些發(fā)布了一個新補丁�����。官方承認 2.16 版本無法在查找評估中妥善防止無限遞歸����,因而易受 CVE-2021-45105 攻擊的影響。據悉�����,這個拒絕服務(DoS)攻擊的威脅級別相當之高,CVSS 評分達到了 7.5 / 10 �����。
截圖(via Bleeping Computer)
具體說來是�����,Apache Log4j2 的 2.0-alpha1 到 2.16.0 版本���,均未能防止自引用查找的不受控遞歸。
當日志配置使用了帶有上下文查找的非默認模式布局時(例如 $${ctx:loginId})�����,控制線程上下文映射(MDC)數(shù)據輸入的攻擊者��,便可制作一份包含遞歸查找的惡意輸入數(shù)據�,從而導致進程因堆棧溢出報錯而被終止。
時隔三天冒出的新問題���,是由 Akamai Technologies 的 Hideki Okamoto 和另一位匿名漏洞研究人員所發(fā)現(xiàn)的 —— 此類攻擊又被稱作 DoS(拒絕服務)�。
緩解措施包括部署 2.17.0 補丁,并將諸如 ${ctx:loginId} 或 $${ctx:loginId} 之類的上下文查找�,替換為日志記錄配置中 PatternLayout 線程的上下文映射模式(如 %X、%mdc 或 %MDC)���。
Apache 還建議在 ${ctx:loginId} 或 $${ctx:loginId} 等配置中��,刪除對上下文查找的引用 —— 它們源于應用程序的外部���,比如 HTTP 標頭或用戶輸入。
慶幸的是����,只有 Log4j 的核心 JAR 文件,受到了 CVE-2021-45105 漏洞的的影響�。
(圖 via Google Security Blog)
周五的時候,網絡安全研究人員開始發(fā)布有關 2.16.0 潛在問題的推文���,且其中一些人確定了拒絕服務(DoS)漏洞���。
美國網絡安全和基礎設施安全局(CISA)提出了多項緊急建議,要求聯(lián)邦機構盡快在圣誕節(jié)前落實補丁修復�����。
與此同時,IBM��、思科�����、VMware 等科技巨頭���,也在爭分奪秒地修復自家產品中的 Log4j 漏洞�����。
第二波惶恐源于安全公司 Blumira 發(fā)現(xiàn)的另一種 Log4j 攻擊,其能夠利用機器或本地網絡上的偵聽服務器來發(fā)起攻擊��。
在此之前����,許多人誤以為 Log4j 漏洞僅限于暴露的易受攻擊的服務器。而 Conti 之類的勒索軟件組織�����,也在積極探索此類漏洞利用方法�。
35058302350743號