http://mpvideo.qpic.cn/0bc32maacaaapyalogolpzqvbu6dahjqaaia.f10002.mp4?dis_k=5abf61ff425e5e40731c1b7c65cdb2ad&dis_t=1642501885&vid=wxv_2200302600145666050&format_id=10002&support_redirect=0&mmversion=false
log4shell 漏洞(又名CVE-2021-44228)对行业的影响是巨大的,许多组织都宣称他们受到了影响。这证明了在其生态系统中使用 log4j 的公司的规模之大。
Apache 的 log4j 团队努力将安全补丁添加到最新的 log4j 版本 (2.17.0) 以禁用查找并允许协议/主机列表。如您所见,使用不同的攻击向量,仍然可以使用默认配置实现任意代码执行.
修复建议:
将 Apache Log4j2 升级到 2.17.1、2.12.4 和 2.3.2 或更高版本。
原文链接:
https://checkmarx.com/blog/cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via-jdbcappender-datasource-element/