Az előzőleg talált: „Itt egy Log4j hiba, ami még a Minecraft-ot is érinti” hiba nyomán új Log4J kiadás készült 2.16-os verziószámmal.
Úgy találták, hogy az Apache Log4j 2.15.0-ban található CVE-2021-44228 javítás bizonyos nem alapértelmezett konfigurációkban nem volt teljes. Ez lehetővé tehette a Thread Context Map (MDC) bemeneti adatok feletti ellenőrzéssel rendelkező támadók számára, amikor a naplózási konfiguráció nem alapértelmezett Pattern Layout-ot használ, amely vagy egy Context Lookup (például $$${ctx:loginId}) vagy egy Thread Context Map mintát (%X, %mdc vagy %MDC) tartalmaz, hogy rosszindulatú bemeneti adatokat készítsenek egy JNDI Lookup minta segítségével, ami egy szolgáltatásmegtagadási (DOS) támadást eredményez. A Log4j 2.15.0 alapértelmezés szerint a JNDI LDAP-keresést a localhost-ra korlátozza. Vegye figyelembe, hogy a korábbi, konfigurációval járó enyhítések, például a log4j2.noFormatMsgLookup rendszer tulajdonság true értékre állítása NEM enyhíti ezt a konkrét sebezhetőséget.
Az új hibaközlés a CVE-2021-45046 számon érhető el. Részletek a Log4J security oldalán.
A biztonsági kutatók korábban már említett más kárenyhítési intézkedéseket, de rájöttek, hogy ezek az intézkedések csak korlátozzák a kitettséget, miközben néhány támadási vektort nyitva hagynak.
A 2.15.0-s kiadásról kiderült, hogy még mindig sebezhető, ha a konfigurációban olyan mintaelrendezés van, amely Context Lookupot (például $$${ctx:loginId}) vagy Thread Context Map mintát %X, %mdc vagy %MDC tartalmaz. Ha egy támadó képes a Thread Context értékek ellenőrzésére, akkor be tud injektálni egy JNDI Lookup mintát, amely kiértékelődik, és JNDI-kapcsolatot eredményez. A Log4j 2.15.0 alapértelmezés szerint a JNDI-kapcsolatokat a localhostra korlátozza, de ez még mindig DOS (Denial of Service) támadásokhoz vagy rosszabb esetben DOS-támadásokhoz vezethet.
Az „Itt egy Log4j hiba, ami még a Minecraft-ot is érinti” hibánál tanácsolt elkerülő megoldások