[[440415]]

今天的早些時候陷入CVE-2021-44228漏洞風(fēng)波的Log4j發(fā)布了2.16.0版本。

[[440416]]

2.16.0版本強(qiáng)化漏洞防御

在2.16.0版本版本中完全刪除對Message Lookups的支持。目的是采取強(qiáng)化措施以防止 CVE-2021-44228,另外默認(rèn)禁用 JNDI，需要 log4j2.enableJndi設(shè)置為 true 以允許 JNDI。 CVE-2021-44228漏洞已經(jīng)在前些天發(fā)布的2.15.0版本得到了修復(fù)。2.16.0版本是強(qiáng)化對漏洞的封堵，強(qiáng)烈建議更新到2.16.0版本。

受漏洞影響的Apache項目

另外Apache 安全團(tuán)隊在今天公布了受log4j CVE-2021-44228影響的Apache項目。可以根據(jù)下面列表進(jìn)行排查：

關(guān)于 Log4j1.2下的CVE-2021-4104

當(dāng)攻擊者對Log4j配置具有寫訪問權(quán)限時，Log4j1.2中的 JMSAppender容易受到不可信數(shù)據(jù)的反序列化。攻擊者可以對TopicBindingName和TopicConnectionFactoryBindingName配置，將導(dǎo)致JMSAppender以類似CVE-2021-4422的方式執(zhí)行JNDI請求，從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

請注意，當(dāng)專門使用JMSAppender時才會引發(fā)CVE-2021-4104，此問題僅出現(xiàn)在Log4j 1.2，而且這不是默認(rèn)設(shè)置。

本文轉(zhuǎn)載自微信公眾號「碼農(nóng)小胖哥」，可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系碼農(nóng)小胖哥公眾號。