آپدیت جدید Apache Log4j برای آسیب پذیری جدید منتشر شد

بنیاد نرم‌افزار Apache  (ASF) روز سه‌شنبه وصله‌های جدیدی را منتشر کرد. این وصله‌ها برای یک آسیب پذیری اجرای کد دلخواه در Log4j است که می‌تواند توسط هکرها برای اجرای کدهای مخرب بر روی سیستم‌های آسیب‌دیده مورد استفاده قرار گیرد. این پنجمین نقص امنیتی است که در یک ماه گذشته در این ابزار کشف می‌شود.

این آسیب‌پذیری که به‌عنوان CVE-2021-44832 شناسایی می‌شود، از نظر شدت رتبه 6.6 از 10 را به خود اختصاص داده است و تمامی نسخه‌های لاگینگ را از 2.0-alpha7 تا 2.17.0 به استثنای 2.3.2 و 2.12.4 تحت تأثیر قرار می‌دهد. در حالی که نسخه‌های Log4j 1.x تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند، به کاربران توصیه می‌شود که به نسخه‌های Log4j 2.3.2 (برای جاوا 6)، 2.12.4 (برای جاوا 7)، یا 2.17.1 (برای جاوا 8 و جدیدتر) ارتقا دهند.

آپدیت جدید Apache Log4j

نسخه‌های Apache Log4j2 2.0-beta7 تا 2.17.0 (به استثنای نسخه‌های اصلاح شده 2.3.2 و 2.12.4) در برابر حملات اجرای کد از راه دور (RCE) آسیب‌پذیر هستند.در این نوع حملات هکر با تغییر فایل پیکربندی لاگ می‌تواند یک حمله را آغاز کند. مهاجم می‌تواند در پیکربندی با استفاده از JDBC Appender با یک منبع داده ارجاع به یک JNDI URI، کد راه دور را اجرا کند. این مشکل با محدود کردن نامهای منابع داده JNDI به پروتکل جاوا در Log4j2 نسخه‌های 2.17.1، 2.12.4 و 2.3.2 برطرف شده است.

از آنجایی‌که در آسیب‌پذیری جدید هکر نیاز دارد تا بر پیکربندی کنترل داشته باشد، پیچیدگی آن بیشتر از نوع اصلی یعنی CVE-2021-44228 است. برخلاف Logback، در Log4j یک ویژگی برای بارگذاری یک فایل پیکربندی راه دور یا پیکربندی لاگر از طریق کد وجود دارد، بنابراین می‌توان با یک حمله MitM کدهای دلخواه را اجرا کرد.

مرتبط : هکرها با استفاده از آسیب پذیری Log4j از سرورهای HP برای استخراج رمزارز استفاده کردند

در اصلاحات اخیر، مسئولان این پروژه در مجموع به چهار مشکل در Log4j رسیدگی کرده‌اند. این اصلاحات از زمانی که نقص Log4Shell در اوایل ماه جاری آشکار شد شروع شد. البته پنجمین آسیب‌پذیری که نسخه‌های Log4j 1.2 را تحت تأثیر قرار می‌دهد با این اصلاحات رفع نخواهد شد.

CVE-2021-44228 (امتیاز CVSS: 10.0) – یک آسیب پذیری اجرای کد از راه دور که نسخه های Log4j از 2.0-beta9 تا 2.14.1 را تحت تأثیر قرار می دهد (در نسخه 2.15.0 رفع شد)

CVE-2021-45046 (امتیاز CVSS: 9.0) – آسیب پذیری نشت اطلاعات و اجرای کد از راه دور که بر نسخه های Log4j از 2.0-beta9 تا 2.15.0 تأثیر می گذارد، به استثنای 2.12.2 (در نسخه 2.16.0 رفع شد)

CVE-2021-45105 (امتیاز CVSS: 7.5) – یک آسیب پذیری عدم-اجرای-سرویس که نسخه های Log4j از 2.0-beta9 تا 2.16.0 را تحت تأثیر قرار می دهد (در نسخه 2.17.0 رفع شد)

CVE-2021-4104 (امتیاز CVSS: 8.1) – یک نقص نامطمئن deserialization که Log4j نسخه 1.2 را تحت تأثیر قرار می دهد (بدون اصلاح، ارتقا به نسخه 2.17.1)

مرتبط : آسیب‌پذیری بحرانی Log4j بخش بزرگی از اینترنت را در معرض خطر قرار می‌دهد

این اصلاحات درحالی رخ می‌دهد که سازمان‌های اطلاعاتی کشورهای استرالیا، کانادا، نیوزلند، بریتانیا و ایالات متحده هشداری مشترک در مورد سوءاستفاده انبوه از آسیب‌پذیری‌های متعدد در نرم‌افزار Log4j Apache توسط دشمنان را صادر کردند.