log4j RCE (CVE-2021-44228)이 2.15에서 패치되었지만, CVE-2021-45046 (DoS 유발) 취약점이 새로 발견되었음. 아래는 테스트 해본 결과.
[테스트 환경] log4j-2.15.0 (api , core) JRE-1.8.0 jdk1.8.0_151 Eclipse IDE (Maven Project)
- Log4j RCE (CVE-2021-44228) 구문 테스트 -> Not Vuln
- 임의의 ctx 객체명을 삽입 -> Not vuln
- context를 받는 객체와 동일한 이름으로 삽입하는 경우 -> infinite loop 로 DoS 발생
- ${jndi:ldap://127.0.0.1#[ldap 서버 주소]} 형태로 삽입 -> UnknownHostException 발생, DoS 미발생
- jndi:ldap://[ldap서버]#[ldap서버] 형태 -> Not vuln
- Java 코드 삽입 -> illegalArgmumentException 으로 DoS 발생
7-1. Java 구문 삽입 -> System info exposure
7-2. Java 구문 삽입 ->illegalArgmumentException , DoS 발생
-> illegalArgumentException 발생 지점 확인 시 Switch case 문으로 2-5에서 System info exposure 가능한 Java 구문 (${java:version} 은 의도된 루틴으로 보임.
