原文地址:www.pxlet.com/detail.php?…
因为看毛星云前辈有感,坚持翻译外网热文.翻译在手工机翻的基础上加上自己的理解进行调整,欢迎交流指导. 本文仅用于交流使用,如有侵权,可以立刻联系删除.
如果你只想解决这个问题? 请点击修复指南 log4j修复指南链接.
在log4j的维护人员发布了 2.15.0版本后 Log4Shell的脆弱性, 我们发现了另一个可被攻击的载体,并在报告 CVE-2021-45046中公布了出来.
在我们研究后发现,在某些情况下,新的CVE保护机制对版本2.7.0 <= Apache log4j <= 2.14.1无效.
触发这种故障的条件.
如果你只启用了noMsgFormatLookups标志,或仅在会被攻击的条件接口的ThreadContext参数中设置%m{nolookups},你仍然有可能受到Log4Shell(RCE)的攻击。在这种情况下,您必须升级到2.16.0否则您仍然会受到RCE的攻击。
对于版本 2.15.0
我们发现CVE中概述的DOS实际上并没有影响,因为在我们的测试过程中它并没有消耗资源(见下面)。
我们仍然可能是错的,所以我们继续建议您升级到2.16.0,以防黑客发现更好的办法,滥用这些漏洞进行攻击。
新的CVE非常难理解
不幸的是,已出版的CVE中没有提到可能的造成RCE的原因,在CVE中,它只提到了在2.15.0之前的版本中可能存在的“拒绝服务”攻击。
鉴于上述发现,我们建议使用log4j的每个人立即升级到2.16.0或更高版本,或者手动修补他们的log4j类(有关详细信息,请参阅我们的缓解指南)。请阅读这篇文章的其余部分,了解我们的研究背景。
从这以后机翻,晚上会来补上校准,后续还有内容晚上补上
CVE-2021-45046内容
新的CVE声明:
在某些非默认配置中,发现Apache Log4j 2.15.0中解决CVE-2021-44228的修复是不完整的。
我们发现这个报告是关于2.7.0 <= Apache log4j <= 2.14.1版本推荐的临时缓解方案之一可能无法保护这个CVE。进一步指出:
注意,以前的缓解措施涉及配置,比如设置系统属性log4j2。noFormatMsgLookup为true并不会缓解这个特定的漏洞。
它显然不是很容易从阅读这个CVE具体受到什么影响,或这个漏洞实际上是如何触发的。这就是为什么我们自己测试了这个来弄清楚影响是什么。
名词解释: CVE(Common Vulnerabilities and Exposures常见弱点和风险,是一个国外的分享网站) RCE(Remote Code Execution远程命令攻击)
