Tổ chức phần mềm Apache (ASF) vào thứ Ba đã tung ra các bản vá mới để chứa một lỗ hổng thực thi mã tùy ý trong Log4j có thể bị các tác nhân đe dọa lạm dụng để chạy mã độc trên các hệ thống bị ảnh hưởng, khiến nó trở thành thiếu sót bảo mật thứ năm được phát hiện trong công cụ trong khoảng thời gian một tháng.
Được theo dõi là CVE-2021-44832, lỗ hổng bảo mật được xếp hạng 6,6 ở mức độ nghiêm trọng trên thang điểm 10 và ảnh hưởng đến tất cả các phiên bản của thư viện ghi nhật ký từ 2.0-alpha7 đến 2.17.0, ngoại trừ 2.3.2 và 2.12.4. Mặc dù phiên bản Log4j 1.x không bị ảnh hưởng, người dùng nên nâng cấp lên Log4j 2.3.2 (dành cho Java 6), 2.12.4 (dành cho Java 7) hoặc 2.17.1 (dành cho Java 8 trở lên).
“Apache Log4j2 phiên bản 2.0-beta7 đến 2.17.0 (không bao gồm các bản sửa lỗi bảo mật 2.3.2 và 2.12.4) dễ bị tấn công thực thi mã từ xa (RCE) trong đó kẻ tấn công có quyền sửa đổi tệp cấu hình ghi nhật ký có thể tạo ra mã độc cấu hình bằng cách sử dụng JDBC Appender với nguồn dữ liệu tham chiếu đến URI JNDI có thể thực thi mã từ xa “, ASF cho biết trong một lời khuyên. “Sự cố này được khắc phục bằng cách giới hạn tên nguồn dữ liệu JNDI cho giao thức java trong Log4j2 phiên bản 2.17.1, 2.12.4 và 2.3.2.”
Mặc dù không có khoản tín dụng nào được ASF trao cho vấn đề này, nhà nghiên cứu bảo mật của Checkmarx, Yaniv Nizry, đã tuyên bố công nhận vì đã báo cáo lỗ hổng bảo mật cho Apache vào ngày 27 tháng 12.
“Độ phức tạp của lỗ hổng này cao hơn CVE-2021-44228 ban đầu vì nó yêu cầu kẻ tấn công có quyền kiểm soát cấu hình”, Nizry lưu ý. “Không giống như Logback, trong Log4j có một tính năng để tải tệp cấu hình từ xa hoặc để định cấu hình trình ghi nhật ký thông qua mã, do đó, có thể thực hiện mã tùy ý với [an] Tấn công MitM, đầu vào của người dùng kết thúc bằng một biến cấu hình dễ bị tấn công hoặc sửa đổi tệp cấu hình. “
Với bản sửa lỗi mới nhất, những người bảo trì dự án đã giải quyết tổng cộng bốn vấn đề trong Log4j kể từ khi lỗ hổng Log4Shell được đưa ra hồi đầu tháng này, chưa kể lỗ hổng thứ năm ảnh hưởng đến phiên bản Log4j 1.2 sẽ không được sửa –
CVE-2021-44228 (Điểm CVSS: 10.0) – Một lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản Log4j từ 2.0-beta9 đến 2.14.1 (Đã sửa trong phiên bản 2.15.0)
CVE-2021-45046 (Điểm CVSS: 9.0) – Rò rỉ thông tin và lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản Log4j từ 2.0-beta9 đến 2.15.0, ngoại trừ 2.12.2 (Đã sửa trong phiên bản 2.16.0)
CVE-2021-45105 (Điểm CVSS: 7,5) – Một lỗ hổng từ chối dịch vụ ảnh hưởng đến các phiên bản Log4j từ 2.0-beta9 đến 2.16.0 (Đã sửa trong phiên bản 2.17.0)
CVE-2021-4104 (Điểm CVSS: 8.1) – Một lỗ hổng giải mã không đáng tin cậy ảnh hưởng đến Log4j phiên bản 1.2 (Không có bản sửa lỗi; Nâng cấp lên phiên bản 2.17.1)
Sự phát triển cũng diễn ra khi các cơ quan tình báo từ khắp Australia, Canada, New Zealand, Anh và Mỹ đưa ra cảnh báo cố vấn chung về việc khai thác hàng loạt nhiều lỗ hổng trong thư viện phần mềm Log4j của Apache bởi những kẻ thù bất chính.
.
