今天的早些時候陷入CVE-2021-44228漏洞風波的Log4j釋出了2.16.0版本。
2.16.0版本強化漏洞防禦
在2.16.0版本版本中完全删除對Message Lookups的支援。目的是采取強化措施以防止 CVE-2021-44228,另外預設禁用 JNDI,需要
log4j2.enableJndi
設定為
true
以允許 JNDI。 CVE-2021-44228漏洞已經在前些天釋出的2.15.0版本得到了修複。2.16.0版本是強化對漏洞的封堵,強烈建議更新到2.16.0版本。
受漏洞影響的Apache項目
另外Apache 安全團隊在今天公布了受log4j CVE-2021-44228影響的Apache項目。可以根據下面清單進行排查:
關于 Log4j1.2下的CVE-2021-4104
當攻擊者對Log4j配置具有寫通路權限時,Log4j1.2中的 JMSAppender容易受到不可信資料的反序列化。攻擊者可以對
TopicBindingName
和
TopicConnectionFactoryBindingName
配置,将導緻JMSAppender以類似CVE-2021-4422的方式執行JNDI請求,進而導緻遠端代碼執行。
請注意,當專門使用JMSAppender時才會引發CVE-2021-4104,此問題僅出現在Log4j 1.2,而且這不是預設設定。
附代碼|Java日志庫Log4j2注入漏洞複現,看看它危害有多大
2021-12-13