關于 log4j jndi 遠程代碼執行漏洞,已確定為CVE-2021-44228 -(另見參考資料) - 想知道Log4j-v1.2是否也受到影響,但我從源代碼審查中得到的最接近的是JMS-Appender .
問題是,雖然互聯網上的帖子表明 Log4j-1.2 也存在漏洞,但我無法找到相關的源代碼。
我是否遺漏了其他人已經確定的東西?
Log4j1.2 似乎在socket-server類中有一個漏洞,但我的理解是它需要首先啟用才能適用,因此不像 jndi-lookup 漏洞那樣,它不是一種被動威脅。似乎。
我的理解 - Log4j-v1.2 - 不容易受到 jndi-remote-code 執行錯誤的影響嗎?
參考資料-
https://logging.apache.org/log4j/2.x/security.html
https://arstechnica.com/information-technology/2021/12/minecraft-and-other-apps-face-serious-threat-from-new-code-execution-bug/
https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html
https://portswigger.net/daily-swig/log4shell-vulnerability-poses-critical-threat-to-applications-using-ubiquitous-java-logging-package-apache-log4j
更新 #1 -來自 cloudflare 的這篇博文也表明了與來自AKX的相同點......它是從 log4j2 引入的!
uj5u.com熱心網友回復:
JNDI 功能已添加到 log4j 2.0-beta9 中。
因此,log4j 1.x 沒有易受攻擊的代碼。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/379276.html