โครงการ Log4j ออกเวอร์ชั่น 2.17.0 หลังนักวิจัยพบช่องโหว่ CVE-2021-45105 ที่แม้จะไม่สามารถส่งโค้ดเข้าไปรันได้เหมือนช่องโหว่ก่อนหน้านี้ แต่ก็ทำให้โปรแกรมแครชไปได้ กลายเป็นช่องโหว่แบบ Denial of Service
ลำดับช่องโหว่ของ Log4j ในช่วงสัปดาห์ที่ผ่านมาได้แก่
- CVE-2021-44228 ช่องโหว่รันโค้ดระยะไกล กระทบกรณีใช้งานปกติ ทำให้กระทบเป็นวงกว้าง คะแนน CVSS 10.0 แก้ไขแล้วใน Log4j 2.15.0 ขึ้นไป หรือเปิดตั้งค่า formatMsgNoLookups=true
- CVE-2021-45046 ช่องโหว่รันโค้ดระยะไกล กระทบต่อเมื่อแอปพลิเคชั่นเรียกใช้ Log4j ในวิธีการเฉพาะ จากการเขียน log ผ่าน ThreadContext คะแนน CVSS 9.0 แก้ไขแล้วใน Log4j 2.16.0 ด้วยการปิดการทำงาน JNDI
- CVE-2021-45105 ช่องโหว่ DoS กระทบต่อเมื่อแอปพลิเคชั่นเรียกใช้ Log4j ในวิธีการเฉพาะ จากการเขียน log ผ่าน ThreadContext คะแนน CVSS 7.5 แก้ไขแล้วใน Log4j 2.17.0
ช่องโหว่ล่าสุดนี้เกิดจากแฮกเกอร์สามารถกระตุ้นให้ Log4j รันกระบวนการ message lookup แบบ recursive ผ่านทาง log เช่น ${ctx:loginId}
ที่มา - Log4j