آپدیت جدید Apache Log4j برای آسیب پذیری جدید منتشر شد
بنیاد نرمافزار Apache (ASF) روز سهشنبه وصلههای جدیدی را منتشر کرد. این وصلهها برای یک آسیب پذیری اجرای کد دلخواه در Log4j است که میتواند توسط هکرها برای اجرای کدهای مخرب بر روی سیستمهای آسیبدیده مورد استفاده قرار گیرد. این پنجمین نقص امنیتی است که در یک ماه گذشته در این ابزار کشف میشود.
این آسیبپذیری که بهعنوان CVE-2021-44832 شناسایی میشود، از نظر شدت رتبه ۶٫۶ از ۱۰ را به خود اختصاص داده است و تمامی نسخههای لاگینگ را از ۲٫۰-alpha7 تا ۲٫۱۷٫۰ به استثنای ۲٫۳٫۲ و ۲٫۱۲٫۴ تحت تأثیر قرار میدهد. در حالی که نسخههای Log4j 1.x تحت تأثیر این آسیبپذیری قرار نمیگیرند، به کاربران توصیه میشود که به نسخههای Log4j 2.3.2 (برای جاوا ۶)، ۲٫۱۲٫۴ (برای جاوا ۷)، یا ۲٫۱۷٫۱ (برای جاوا ۸ و جدیدتر) ارتقا دهند.
آپدیت جدید Apache Log4j
نسخههای Apache Log4j2 2.0-beta7 تا ۲٫۱۷٫۰ (به استثنای نسخههای اصلاح شده ۲٫۳٫۲ و ۲٫۱۲٫۴) در برابر حملات اجرای کد از راه دور (RCE) آسیبپذیر هستند.در این نوع حملات هکر با تغییر فایل پیکربندی لاگ میتواند یک حمله را آغاز کند. مهاجم میتواند در پیکربندی با استفاده از JDBC Appender با یک منبع داده ارجاع به یک JNDI URI، کد راه دور را اجرا کند. این مشکل با محدود کردن نامهای منابع داده JNDI به پروتکل جاوا در Log4j2 نسخههای ۲٫۱۷٫۱، ۲٫۱۲٫۴ و ۲٫۳٫۲ برطرف شده است.