发现另一个 Log4j 漏洞

在网络安全专家花费数天时间试图修补或缓解 CVE-2021-44228 后，最近发现了围绕 Apache Log4j 的第二个漏洞。 

在美国政府网络官员对全球数亿台设备发出警告并采取行动后，这些设备可能会暴露在基于 Java 的软件 Log4j 上新发现的漏洞中，Apache 软件基金会发布了一个安全修复程序，该基金会管理着Log4j 软件。

新漏洞CVE 2021-45046的调查结果表明，Apache Log4j 2.15.0中针对CVE-2021-44228的修复在某些非默认配置中不完整。

“这可能允许……使用 JNDI 查找模式制作恶意输入数据，从而导致拒绝服务 (DOS) 攻击，” CVE 描述中写道。

Apache Software Foundation 已经发布了一个新补丁 Log4j 2.16.0 来解决该问题。CVE 指出，Log4j 2.16.0 通过删除对消息查找模式的支持和默认禁用 JNDI 功能来解决该问题。 

Netenrich 的首席威胁猎手 John Bambenek告诉 ZDNet，该问题的解决方案是完全禁用 JNDI 功能，这实际上是最新补丁中的默认行为。

全球安全公司 ESET 发布了一张地图，显示了进行 Log4j 漏洞利用尝试的位置，其中美国和英国的数量最多。