没完没了，Apache Log4j：你爆我也爆！

Apache Log4j 漏洞死灰复燃：CVE-2021-44832 入侵

最近，Apache Log4j 日志库中发现了另一个关键的远程代码执行（RCE）漏洞，编号为 CVE-2021-44832。这并不是 Log4j 库中首次发现漏洞，这个不断增长的漏洞清单令人震惊地揭示了即使是最流行和广泛使用的软件组件也并非万无一失的事实。

漏洞详情

CVE-2021-44832 漏洞是一个基于堆栈的缓冲区溢出漏洞，它允许攻击者在目标系统上执行任意代码。与之前的 Log4j 漏洞类似，攻击者可以通过将恶意输入记录到日志文件中来利用此漏洞。当 Log4j 处理此输入时，它会触发缓冲区溢出，导致任意代码执行。

影响

此漏洞的影响十分严重，因为它可以让攻击者完全控制受影响的系统。他们可以安装恶意软件、窃取敏感数据或发起进一步的攻击。受影响的系统包括使用 Log4j 库进行日志记录的任何应用程序或服务，例如 Web 服务器、应用程序服务器和云平台。

缓解措施

缓解此漏洞的最佳方法是更新到最新版本的 Log4j。Log4j 2.17.1 及更高版本已修复此漏洞。此外，可以采用以下缓解措施：

• 将 log4j2.formatMsgNoLookups 设置为 true
• 将日志级别设置为 ERROR 或更高
• 从类路径中删除 Log4j 核心 JAR 文件

代码示例

以下代码示例展示了如何在 Java 应用程序中实施 log4j2.formatMsgNoLookups 属性：

import org.apache.logging.log4j.core.config.Configurator;

public class Log4jMitigation {

    public static void main(String[] args) {
        // 设置 log4j2.formatMsgNoLookups 属性为 true
        System.setProperty("log4j2.formatMsgNoLookups", "true");

        // 初始化 Log4j 配置
        Configurator.initialize(null, Log4jConfigurationFactory.class.getName());

        // ... 您的应用程序逻辑 ...
    }
}

结论

Apache Log4j 中的最新漏洞是一个严峻的提醒，它表明网络安全是一个永无止境的斗争。组织必须始终保持警惕，定期更新其软件和系统，并实施强有力的安全措施以保护自己免受不断变化的威胁。通过遵循最佳实践和及时应用补丁，组织可以显著降低被此类漏洞利用的风险。

常见问题解答

1. 此漏洞与以前的 Log4j 漏洞有什么不同？

CVE-2021-44832 是 Log4j 中发现的第四个漏洞，与以前的漏洞有所不同。它利用了一种不同的攻击向量，允许攻击者执行任意代码，而无需用户交互。

2. 我如何知道我的系统是否受影响？

如果您使用的是 Log4j 2.16.0 或更低版本，您的系统可能受影响。建议您立即更新到最新版本的 Log4j。

3. 我可以采取什么其他步骤来保护我的系统？

除了更新 Log4j 之外，您还可以采取以下步骤来保护您的系统：

• 实现 web 应用程序防火墙
• 监控您的系统以检测可疑活动
• 制定应急响应计划

4. 攻击者可以利用此漏洞做什么？

攻击者可以利用此漏洞在目标系统上执行任意代码。他们可以安装恶意软件、窃取敏感数据或发起进一步的攻击。

5. 这个漏洞有多严重？

此漏洞被评为严重，CVSS 评分为 9.8。这意味着它对受影响的系统构成重大风险，应立即采取措施对其进行缓解。