发布新的Apache Log4j更新，修补新发现的漏洞

星期二，Apache软件基金会（ASF）推出了新的修补程序，以在Log4J中包含任意代码执行缺陷，这些漏洞可能被威胁行动者滥用以影响受影响的系统上的恶意代码，从而成为在一个月内在工具中发现的第五个安全缺陷。

追踪为CVE-2021-44832，该漏洞的严重性等级为6.6，等级为10，影响从2.0-alpha7到2.17.0的所有日志库版本，2.3.2和2.12.4除外。而Log4j版本1。x不受影响，建议用户升级到Log4j 2.3.2（适用于Java 6）、2.12.4（适用于Java 7）或2.17.1（适用于Java 8及更高版本）

“Apache Log4j2 2.0-beta7到2.17.0版本（不包括安全修复版本2.3.2和2.12.4）易受远程代码执行（RCE）攻击ASF在一份通知中说：“有权修改日志配置文件的攻击者可以使用JDBC Appender构建恶意配置，其数据源引用可以执行远程代码的JNDI URI。”通过将JNDI数据源名称限制为Log4j2版本2.17.1、2.12.4和2.3.2中的java协议，解决了这个问题。"

尽管ASF没有就这一问题授予任何学分，但Checkmarx安全研究员亚尼夫·尼兹里（Yaniv Nizry）在12月27日向Apache报告了该漏洞，并声称获得了学分

自本月早些时候Log4Shell漏洞曝光以来，通过最新的修复，项目维护人员已经解决了Log4j中总共四个问题，更不用说影响Log4j 1.2版本的第五个漏洞，该漏洞将不会被修复

CVE-2021-44228（CVSS分数：10.0）-一个远程代码执行漏洞，影响从2.0-beta9到2.14.1的Log4j版本（在版本2.15.0中修复）

• CVE-2021-45046（CVSS分数：9.0）-一种信息泄漏和远程代码执行漏洞，影响从2.0-beta9到2.15.0的Log4j版本，不包括2.12.2.2.2.2（在2.16.0版本中修复）
• CVE-2021-45105（CVSS分数：7.5）-一个拒绝服务漏洞，影响从2.0-beta9到2.16.0的Log4j版本（在版本2.17.0中修复）
• CVE-2021-4104（CVSS分数：8.1）-一个不受信任的反序列化缺陷，影响Log4j版本1.2（无可用修复程序；升级到版本2.17.1）随着来自澳大利亚、加拿大、新西兰、英国和美国的情报机构发布了一个联合咨询警告，Apache的Log4J软件库中的多个漏洞被敌对的对手大量开发。