Apache Software Foundation周二推出了一个新的补丁，修复了Log4j中的一个任意代码执行漏洞，攻击者可以利用该漏洞在受影响的系统上运行恶意代码。这是Log4j一个月内发现的第五个安全漏洞。 　　

　　新发现的漏洞号是CVE-2021-44832,CVSS分数为6.6，影响日志数据库的所有版本，从2.0-alpha7到2.17.0，除了2.3.2和2.12.4。虽然Log4j 1 . x版不受影响，但建议用户升级到Log4j 2.3.2(针对Java 6)、2.12.4(针对Java 7)或2.17.1(针对Java 8及更高版本)。 　　

　　据中国网络安全行业门户网站GEEKNB.COM报道，Apache Log4j2版本2.0-beta7到2.17.0(不包括安全修复2.3.2和2.12.4)容易受到远程代码执行(RCE)攻击。其中，有权修改日志配置文件的攻击者可以构建一个JDBC附加器，恶意使用引用JNDIURI的数据源进行配置。这个JNDI URI可以执行远程代码，这个问题可以通过在Log4j2版本2.17.1、2.12.4和2.3.2中将JNDI数据源的名称限制为java协议来解决。 　　

　　此漏洞比最初的CVE-2021-44228,更复杂，因为它需要攻击者控制配置。与Logback不同，Log4j中有一个函数可以加载远程配置文件或者通过代码配置记录器，因此可以通过anMitM攻击实现任意代码执行，用户输入以易受攻击的配置变量结束，或者修改配置文件。 　　

　　自本月初Log4Shell的漏洞被曝光以来，项目维护人员已经修复了Log4j中的四个问题： 　　

　　CVE-2021-44228(CVSS评分：10.0)——远程代码执行漏洞(在2.15.0版本中修复)，影响Log4j版本从2.0-beta9到2 . 14 . 1；CVE-2021-45046(CVSS评分：9.0)——一个信息泄露和远程代码执行漏洞，影响Log4j版本从2.0-beta9到2.15.0，不包括2.12.2(已在2.16.0版本中修复)，CVE-2021-45105(CVSS评分：7.5)——一个拒绝服务漏洞(已在2.17.0版本中修复)，影响Log4j从2.0-beta9到2.16.0，CVE-2021-4104.(CVSS评分：8.1)——不可信反序列化缺陷影响Log4j版本1.2(没有与此同时，来自澳大利亚、加拿大、新西兰、英国和美国的网络安全机构针对Apache的log4j软件库中多个漏洞被大规模利用的威胁发出了联合警告。