前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >又又又来了!Apache Log4j 被曝本月第 4 个漏洞

又又又来了!Apache Log4j 被曝本月第 4 个漏洞

作者头像
51Aspx
发布2021-12-31 16:21:56
3010
发布2021-12-31 16:21:56
举报
文章被收录于专栏:51Aspx专栏

继本月上旬 Apache Log4j2 中的远程代码执行漏洞被首次曝光后,后续又有多个漏洞相继曝光,并在全球范围内造成了影响。

近日,Apache Log4j 日志库中又有另一个严重的远程代码执行漏洞被曝,被跟踪为 CVE-2021-44832,此漏洞由 Hideki Okamoto、Lederfein 以及另一位匿名漏洞研究人员独立发现。

CVE-2021-44832 是 Log4j 库中的第三个 RCE 和第四个漏洞,此外分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。

据介绍,CVE-2021-44832 表现为,Apache Log4j2 版本 2.0-beta7 到 2.17.0(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行 (RCE) 攻击,其中有权限修改日志配置文件的攻击者可以构建恶意配置,从而将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 Java 协议来解决。

值得注意的是,Log4j 1.x 不受此漏洞影响。受影响的用户可升级到 Log4j 2.3.2(适用于 Java 6)、2.12.4(适用于 Java 7)或 2.17.1(适用于 Java 8 及更高版本),以缓解该漏洞带来的影响。

据官方提示,只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。

另请注意,Apache Log4j 是唯一受此漏洞影响的日志服务子项目。Log4net 和 Log4cxx 等其他项目不受此影响。

文章系转载:https://segmentfault.com/a/1190000041205599

51aspx.com定期发送行业相关文章。

本文系转载,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文系转载前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
日志服务
日志服务(Cloud Log Service,CLS)是腾讯云提供的一站式日志服务平台,提供了从日志采集、日志存储到日志检索,图表分析、监控告警、日志投递等多项服务,协助用户通过日志来解决业务运维、服务监控、日志审计等场景问题。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档