بنیاد نرم‌افزار Apache  (ASF) روز سه‌شنبه وصله‌های جدیدی را منتشر کرد. این وصله‌ها برای یک آسیب پذیری اجرای کد دلخواه در Log4j است که می‌تواند توسط هکرها برای اجرای کدهای مخرب بر روی سیستم‌های آسیب‌دیده مورد استفاده قرار گیرد. این پنجمین نقص امنیتی است که در یک ماه گذشته در این ابزار کشف می‌شود.

این آسیب‌پذیری که به‌عنوان CVE-2021-44832 شناسایی می‌شود، از نظر شدت رتبه ۶٫۶ از ۱۰ را به خود اختصاص داده است و تمامی نسخه‌های لاگینگ را از ۲٫۰-alpha7 تا ۲٫۱۷٫۰ به استثنای ۲٫۳٫۲ و ۲٫۱۲٫۴ تحت تأثیر قرار می‌دهد. در حالی که نسخه‌های Log4j 1.x تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند، به کاربران توصیه می‌شود که به نسخه‌های Log4j 2.3.2 (برای جاوا ۶)، ۲٫۱۲٫۴ (برای جاوا ۷)، یا ۲٫۱۷٫۱ (برای جاوا ۸ و جدیدتر) ارتقا دهند.

آپدیت جدید Apache Log4j

نسخه‌های Apache Log4j2 2.0-beta7 تا ۲٫۱۷٫۰ (به استثنای نسخه‌های اصلاح شده ۲٫۳٫۲ و ۲٫۱۲٫۴) در برابر حملات اجرای کد از راه دور (RCE) آسیب‌پذیر هستند.در این نوع حملات هکر با تغییر فایل پیکربندی لاگ می‌تواند یک حمله را آغاز کند. مهاجم می‌تواند در پیکربندی با استفاده از JDBC Appender با یک منبع داده ارجاع به یک JNDI URI، کد راه دور را اجرا کند. این مشکل با محدود کردن نامهای منابع داده JNDI به پروتکل جاوا در Log4j2 نسخه‌های ۲٫۱۷٫۱، ۲٫۱۲٫۴ و ۲٫۳٫۲ برطرف شده است.

ادامه مطلب …