-
09/04/2020
-
93
-
600 bài viết
Apache tung bản cập nhật vá lỗ hổng Log4j mới được phát hiện
Công ty phần mềm Apache (ASF) mới đây đã tung ra các bản vá mới để giải quyết một lỗ hổng thực thi mã tùy ý trong Log4j có thể bị hacker lợi dụng để chạy mã độc hại trên các hệ thống tồn tại lỗ hổng. Đây là lỗ hổng thứ 5 của Apache được phát hiện và xử lý chỉ trong vòng 1 tháng.
Có mã định danh là CVE-2021-44832, lỗ hổng an ninh có CVSS là 6,6 trên thang điểm 10 và ảnh hưởng đến tất cả các phiên bản của thư viện log từ 2.0-alpha7 đến 2.17.0, ngoại trừ phiên bản 2.3.2 và 2.12.4. Mặc dù phiên bản Log4j 1.x không bị ảnh hưởng, người dùng được khuyến cáo nâng cấp lên Log4j 2.3.2 (dành cho Java 6), 2.12.4 (dành cho Java 7) hoặc 2.17.1 (dành cho Java 8 trở lên).
Hãng cho biết: "Apache Log4j2 phiên bản 2.0-beta7 đến 2.17.0 (không bao gồm các bản vá an ninh 2.3.2 và 2.12.4) dễ bị tấn công thực thi mã từ xa (RCE). Những kẻ tấn công có quyền sửa đổi tệp cấu hình ghi log có thể tạo ra cấu hình độc hại bằng cách sử dụng JDBC Appender với nguồn dữ liệu tham chiếu đến URI JNDI có thể thực thi mã từ xa. Lỗ hổng này được khắc phục bằng cách giới hạn tên nguồn dữ liệu JNDI cho giao thức java trong Log4j2 phiên bản 2.17.1, 2.12.4 và 2.3.2”.
Nhà nghiên cứu an ninh của Checkmarx -Yaniv Nizry - đã tự nhận là người có công báo cáo lỗ hổng an ninh cho Apache vào ngày 27 tháng 12.
"Tương tự như lỗ hổng Logback (CVE-2021-42550), độ phức tạp của lỗ hổng này cao hơn lỗ hổng CVE-2021-44228 vì nó yêu cầu kẻ tấn công có quyền kiểm soát cấu hình" - Nizry lưu ý. "Tuy nhiên, trong log4j có một tính năng để tải tệp cấu hình từ xa không phải là một phần của local codebase và mở ra các vectơ tấn công khác nhau như tấn công MITM, DNS poisoning, lateral movement sau khi giành được quyền truy cập.”.
Trong bản vá mới nhất, Apache đã giải quyết tổng cộng bốn lỗ hổng trong Log4j kể từ khi lỗ hổng Log4Shell được đưa ra hồi đầu tháng này, tuy nhiên không bao gồm lỗ hổng thứ năm ảnh hưởng đến phiên bản Log4j 1.2.
CVE-2021-44228 (Điểm CVSS: 10,0) - Một lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản Log4j từ 2.0-beta9 đến 2.14.1 (Đã sửa trong phiên bản 2.15.0).
CVE-2021-45046 (Điểm CVSS: 9,0) - Rò rỉ thông tin và lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản Log4j từ 2.0-beta9 đến 2.15.0, ngoại trừ 2.12.2 (Đã sửa trong phiên bản 2.16.0)
CVE-2021-45105 (Điểm CVSS: 7,5) - Lỗ hổng từ chối dịch vụ ảnh hưởng đến các phiên bản Log4j từ 2.0-beta9 đến 2.16.0 (Đã sửa trong phiên bản 2.17.0)
CVE-2021-4104 (Điểm CVSS: 8,1) - Lỗ hổng giải mã không đáng tin cậy ảnh hưởng đến Log4j phiên bản 1.2 (Không có bản sửa lỗi; Nâng cấp lên phiên bản 2.17.1)
Các cơ quan tình báo từ khắp Australia, Canada, New Zealand, Anh và Mỹ cũng đưa ra cảnh báo về việc nhiều lỗ hổng trong thư viện phần mềm Log4j của Apache đang bị tích cực khai thác bởi hacker.
Có mã định danh là CVE-2021-44832, lỗ hổng an ninh có CVSS là 6,6 trên thang điểm 10 và ảnh hưởng đến tất cả các phiên bản của thư viện log từ 2.0-alpha7 đến 2.17.0, ngoại trừ phiên bản 2.3.2 và 2.12.4. Mặc dù phiên bản Log4j 1.x không bị ảnh hưởng, người dùng được khuyến cáo nâng cấp lên Log4j 2.3.2 (dành cho Java 6), 2.12.4 (dành cho Java 7) hoặc 2.17.1 (dành cho Java 8 trở lên).
Hãng cho biết: "Apache Log4j2 phiên bản 2.0-beta7 đến 2.17.0 (không bao gồm các bản vá an ninh 2.3.2 và 2.12.4) dễ bị tấn công thực thi mã từ xa (RCE). Những kẻ tấn công có quyền sửa đổi tệp cấu hình ghi log có thể tạo ra cấu hình độc hại bằng cách sử dụng JDBC Appender với nguồn dữ liệu tham chiếu đến URI JNDI có thể thực thi mã từ xa. Lỗ hổng này được khắc phục bằng cách giới hạn tên nguồn dữ liệu JNDI cho giao thức java trong Log4j2 phiên bản 2.17.1, 2.12.4 và 2.3.2”.
Nhà nghiên cứu an ninh của Checkmarx -Yaniv Nizry - đã tự nhận là người có công báo cáo lỗ hổng an ninh cho Apache vào ngày 27 tháng 12.
"Tương tự như lỗ hổng Logback (CVE-2021-42550), độ phức tạp của lỗ hổng này cao hơn lỗ hổng CVE-2021-44228 vì nó yêu cầu kẻ tấn công có quyền kiểm soát cấu hình" - Nizry lưu ý. "Tuy nhiên, trong log4j có một tính năng để tải tệp cấu hình từ xa không phải là một phần của local codebase và mở ra các vectơ tấn công khác nhau như tấn công MITM, DNS poisoning, lateral movement sau khi giành được quyền truy cập.”.
Trong bản vá mới nhất, Apache đã giải quyết tổng cộng bốn lỗ hổng trong Log4j kể từ khi lỗ hổng Log4Shell được đưa ra hồi đầu tháng này, tuy nhiên không bao gồm lỗ hổng thứ năm ảnh hưởng đến phiên bản Log4j 1.2.
CVE-2021-44228 (Điểm CVSS: 10,0) - Một lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản Log4j từ 2.0-beta9 đến 2.14.1 (Đã sửa trong phiên bản 2.15.0).
CVE-2021-45046 (Điểm CVSS: 9,0) - Rò rỉ thông tin và lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản Log4j từ 2.0-beta9 đến 2.15.0, ngoại trừ 2.12.2 (Đã sửa trong phiên bản 2.16.0)
CVE-2021-45105 (Điểm CVSS: 7,5) - Lỗ hổng từ chối dịch vụ ảnh hưởng đến các phiên bản Log4j từ 2.0-beta9 đến 2.16.0 (Đã sửa trong phiên bản 2.17.0)
CVE-2021-4104 (Điểm CVSS: 8,1) - Lỗ hổng giải mã không đáng tin cậy ảnh hưởng đến Log4j phiên bản 1.2 (Không có bản sửa lỗi; Nâng cấp lên phiên bản 2.17.1)
Các cơ quan tình báo từ khắp Australia, Canada, New Zealand, Anh và Mỹ cũng đưa ra cảnh báo về việc nhiều lỗ hổng trong thư viện phần mềm Log4j của Apache đang bị tích cực khai thác bởi hacker.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: