Log4j 又釋出2.17版修補DoS漏洞

美國網路安全暨基礎架構安全署（CISA）上周釋出緊急安全指令，要求聯邦政府單位修補及緩解Log4j漏洞。不過馬上Apache Log4j又公佈新版本來修補新漏洞。

CISA上周五公佈緊急指令，要求聯邦政府機關儘速找出連網系統是否使用Log4j，以及是否受Log4j 漏洞CVE-2021-44228（或稱Log4Shell、LogJam），並在12月23日以前修補、採取緩解措施，或是移除曝險軟體。

Log4Shell漏洞已經有各種網路罪犯著手開採，包括勒索軟體、殭屍網路程式，採礦軟體，以及國家支持的駭客，來源分別是俄羅斯、中國、伊朗、北韓及土耳其。

在Log4Shell之後，安全研究人員又接連揭露2個新漏洞，包括CVE-2021-45046及CVE-2021-4104。CVE-2021-45046上周一開始被認為是中度風險的DoS漏洞，但周末又被發現可能導致資料外洩及任意程式碼執行，因此改列遠端程式碼執行(RCE)漏洞，並其風險調高成CVSS 9.0的重大漏洞。這個漏洞已由2.16.0及2.12.2修補，移除及關閉被濫用的功能。

周六，Log4j開發人員又釋出新版2.17.0以解決CVE-2021-45105，這是一個高風險漏洞，能讓攻擊者傳送改造過的呼叫引發阻斷服務(Denial of Service, DoS)，使App崩潰當掉。

CVE-2021-45105是由外部研究人員發現，包括趨勢科技旗下Zero Day Initiative (ZDI)。

ZDI指出，雖然CVE-2021-45105使用的攻擊途徑和Log4Shell類似，但應視為原漏洞的變種。

西門子同時對客戶發佈安全公告，表示正在研究是哪些產品受CVE-2021-45105影響。

來源：SecurityWeek