发现第二个Log4j漏洞（CVE-2021-45046）；新补丁发布

CVE-2021-45046的严重性评分最初被归类为DoS错误，后来从3.7分修订为9.0分，以反映攻击者可能会滥用该漏洞发送精心编制的字符串，从而导致“某些环境中的信息泄漏和远程代码执行，以及所有环境中的本地代码执行”Apache软件基金会（Apache Software Fuffic，ASF）在最近的一个补丁中推出了Log4J日志记录实用程序，因为最近公布的一个$$$L Log4BeSK的漏洞被认为是“某些非默认配置中的不完整”。第二个漏洞—；追踪号为CVE-2021-45046—；在CVSS评级系统上最多10个版本中，被评为3.7，影响从2.0-beta9到2.12.1和2.13.0到2.15.0的所有版本的Log4j，项目维护人员上周发布了该版本，以解决一个可能被滥用来渗透和接管系统的关键远程代码执行漏洞（CVE-2021-44228）

 

CVE-2021-44228的不完整补丁可能被滥用，以“使用JNDI查找模式制造恶意输入数据，导致拒绝服务（DoS）攻击，”ASF在一份新的建议中说。Log4j的最新版本2.16.0（适用于需要Java 8或更高版本的用户）删除了对消息查找的支持，并默认禁用了JNDI，该组件是漏洞的核心。建议需要Java 7的用户在Log4j release 2.12.2可用时升级到该版本#“处理CVE-2021-44228表明JNDI存在重大安全问题，”ASF的拉尔夫·戈尔斯解释道。“虽然我们已经减少了我们所知道的，但用户在默认情况下完全禁用它会更安全，尤其是因为大多数人不太可能使用它。”

 

JNDI是Java命名和目录接口的缩写，是一种Java API，它使用编程语言编写的应用程序能够查找数据和资源，如LDAP服务器。Log4Shell驻留在Log4j库中，这是一个开源的、基于Java的日志框架，通常集成到Apache web服务器中

 

这个安全漏洞引发了广泛的警报，因为它存在于Java应用程序中一个几乎无处不在的日志框架中，为坏角色提供了一个前所未有的网关，可以渗透并破坏世界各地数百万台设备。

 

对于组织来说是一个更大的麻烦，这个可远程利用的漏洞还影响了来自多家公司的数百种主要企业产品，如Akamai、亚马逊、Apache、Apereo、Atlassian、Broadcom、Cisco、Cloudera、ConnectWise、Debian、Docker、Fortinet、谷歌、IBM、英特尔、Juniper Networks、微软、Okta、Oracle、Red Hat、，SolarWinds、SonicWall、Splunk、Ubuntu、VMware、Zscaler和Zoho构成了巨大的软件供应链风险

 

“与其他涉及一个或有限数量软件的重大网络攻击不同，Log4j基本上嵌入到每一个基于Java的产品或web服务中。手动修复它非常困难，”以色列安全公司Check Point说。“由于修补的复杂性和易利用性，这个漏洞似乎将在未来几年一直存在，除非公司和服务部门立即采取行动，通过实施保护措施来防止对其产品的攻击。”

 

这还包括来自中国、伊朗、朝鲜和土耳其的民族国家行为者，微软指出，“活动范围包括开发过程中的实验、在野外有效载荷部署中集成漏洞，以及针对目标的利用，以实现行为者的目标。”

 

远程代码执行漏洞的大规模武器化促使美国网络安全和基础设施安全局（CISA）将Log4Shell添加到其已知的漏洞目录中，给联邦机构一个12月24日的最后期限，以纳入针对该漏洞的修补程序，并敦促供应商“立即使用Log4j识别、缓解和修补受影响的产品”

 

Sophos的高级威胁研究员肖恩·加拉赫（Sean Gallagher）警告说，“敌人可能会抓住他们现在能得到的任何东西，以期在以后赚钱和/或利用它。”他补充说，“在风暴之前，Log4Shell漏洞的更邪恶活动有一个间歇期。”

 

“防御者最紧迫的任务是通过修补和缓解基础设施的所有角落来减少暴露，并调查暴露的和潜在受损的系统。这种漏洞可能无处不在，”加拉赫补充道