Log4j 2.17.0 再爆雷
Log4j 1.x, Log4j 2.x, Logback 的漏洞剛告一段落,堆疊長本以為這件事可以在 Log4j v2.17.0 這個版本終結了,沒想到,,,
就在昨天,堆疊長打開公眾號,在《團滅!Log4j 1.x 也爆雷了,,,速速棄用!!》一文中,有小伙伴給堆疊長留言:
WC!又來漏洞???
堆疊長也去 Log4j2 官方驗證了下:
Log4j 又發 v2.17.1 了,Log4j v2.17.0 又有遠程代碼執行漏洞,加上本次的漏洞,這是 Log4j 2.x 近期爆發的第 5 個漏洞了:
- CVE-2021-44832(遠程代碼執行漏洞)
- CVE-2021-45105(拒絕服務攻擊漏洞)
- CVE-2021-45046(遠程代碼執行漏洞)
- CVE-2021-44228(遠程代碼執行漏洞)
- 資訊泄漏漏洞(安全公司 Praetorian 發現)
麻了,麻了,第 5 個了,,
趕緊來看看這次的漏洞是什么鬼!
CVE-2021-44832
| CVE-2021-44832 | 遠程代碼執行漏洞 |
|---|---|
| 安全等級 | 中 |
| 影響版本 | Log4j <= 2.17.0 |
攻擊者,如果有權限修改 Log4j2 的日志組態檔,就可以進行惡意配置構建,即將 JDBC Appender 參考 JNDI URI 資料源,利用 JNDI URI 就可以執行遠程代碼,
又是 JNDI 搞的鬼,JDNI 這到底是什么破玩意,有時間堆疊長再分享一篇,關注公眾號Java技術堆疊第一時間推送哦,
這個漏洞的級別和前段時間的《Logback 也爆雷了,驚爆了,,,》相似,都需要有日志組態檔的修改權限才能進行攻擊,所以這個漏洞不是很嚴重,但也不得不防,
最新安全版本:
| JDK 版本 | Log4j2 版本 |
|---|---|
| Java 8+ | v2.17.1 |
| Java 7 | v2.12.4 |
| Java 6 | v2.3.2 |
結語
Log4j v2.17.1 這版本來得有點突然啊,前段時間的 Log4j v2.17.0 居然又有遠程代碼執行漏洞,雖然嚴重程度不是很高,但出現漏洞就不得不防啊,大家趕緊升級保平安吧!
Log4j2 漏洞這段時間簡直殺瘋了,沒完沒了,現在還沒有看到熄火的節奏,啥時候是個頭啊,,,
Log4j2 漏洞的后續進展,堆疊長也會持續跟進,關注公眾號Java技術堆疊,公眾號第一時間推送,
著作權宣告!!!
本文系公眾號 "Java技術堆疊" 原創,轉載、參考本文內容請注明出處,抄襲、洗稿一律投訴侵權,后果自負,并保留追究其法律責任的權利,
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2022最新版)
2.勁爆!Java 協程要來了,,,
3.Spring Boot 2.x 教程,太全了!
4.Spring Boot 2.6 正式發布,一大波新特性,,
5.《Java開發手冊(嵩山版)》最新發布,速速下載!
覺得不錯,別忘了隨手點贊+轉發哦!
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/398418.html
標籤:其他
上一篇:阿里頒布新招聘規章“內卷”已成過去,2022Java崗面試開卷小抄
下一篇:1.16 過濾序列元素