Log4j漏洞爆不完？新版2.17.1釋出修補CVE-2021-44832漏洞

Checkmarkx研究人員發現利用Log4j執行惡意程式碼的新方法，也驅使Apache軟體基金會於歐美新年假期間再次發佈更新版本2.17.1、2.12.4及2.3.2版。

新版本是用以修補最新漏洞CVE-2021-44832，Checkmarx研究人員指出，在2 .17.0版本中JDBC (Java Database Connectivity API) Appender仍然能動態載入JDNI URL，JDBC Appender是Log4j負責經由JDBC API輸出日誌記錄的元件。

周二一早Checkmarkx研究人員Yaniv Nizry在推特上貼出一封郵件擷圖，表示是Log4j遠端程式碼執行漏洞，不過隨後他澄清指出，這是一個本地程式碼執行(local code execution)。開採這個漏洞需要修補組態檔，因此嚴重性遠較Log4Shell(CVE-2021-44228)的10.0及CVE-2021-45046的9.0來得低。

Nizry在最新的部落格中說道CVE-2021-44832也顯示了Log4j原始碼修補工作有多複雜。

他提及，Apache的Log4j團隊的2.17.0修補程式關閉JNDI查詢及允許載入？協定/主機清單。但若使用不同的攻擊管道，的確有可能執行任意程式碼。

不過安全廠商Bugcrowd技術長Casey Ellis指出，要觸發最新漏洞需要相當繁複的條件，因此雖然仍值得注意，不過並不會讓Log4j已經很高的風險再雪上加霜。

Ellis也指出，漏洞可能是經由靜態程式碼分析結合手動檢測發現。她說，Log4j作為一個日誌資料庫，接收資料的方式相當彈性，而每個互動點都可能是開採管道，而且現在有許多人都在忙著檢視Log4j，因此可以預期之後還會陸續發現類似的漏洞。

她建議，為確保安全，尤其如果系統採取了可能開採CVE-2021-44832 的組態，最保險方法是更新到2.17.1版本。

即使在這最新一波漏洞修補前，專家已經指出，由於Log4j是現今最普及的Java專案之一，許多企業用它來掌管Java App日誌，因此要完全修補Logj4，可能要耗時好幾年。

來源：SC Magazine