Apache Log4j 被发现第三个漏洞

继 CVE-2021-44228 和 CVE-2021-45046 之后发现的第三个 Log4Shell 漏洞。

距离 Apache Log4j “核弹级”漏洞的公开已过去将近一周，在此期间被记录的漏洞总共有两个，分别是 CVE-2021-44228 和 CVE-2021-45046。针对漏洞的补丁版本也早已发布：

• Apache Log4j 2.16.0 已发布
• Apache Log4j 2.15.0 发布，安全漏洞已得到解决

不过安全公司 Praetorian 的研究人员昨日表示，2.15.0 存在一个更严重的漏洞——信息泄露漏洞，可用于从受影响的服务器下载数据。

与此同时，Praetorian 已将该漏​​洞的所有技术细节发送给 Apache 软件基金会，他们尚未透露更多细节。Praetorian 强烈建议使用者尽快升级到 2.16.0，但尚不清楚此错误是否已在 2.16.0 版本中解决。

Praetorian 研究人员也无法确定数据泄露漏洞的在野利用。他们没有提供有关该漏洞的其他详细信息，这是因为不希望黑客轻易利用漏洞。

研究人员提供了新漏洞的概念验证：https://www.youtube.com/watch?v=bxDEJDqANig