| Apache Log4j 五连环漏洞修复锦囊秘籍 | 您所在的位置:网站首页 › apache tomcat文件包含漏洞cve › Apache Log4j 五连环漏洞修复锦囊秘籍 |
Apache Log4j 五连环漏洞修复锦囊秘籍
 阅读本文约花费您5分钟,修复应用漏洞刻不容缓! 1 、以数据之名 简介微信公众号、知乎和稀土掘金等,主体均为“以数据之名”;本文主要针对近期Apache Log4j 5连环漏洞,做修复策略实践经验总结。2 、Log4j 漏洞综述【安全通告-高危】Apache Log4j 五连环安全漏洞【综述】近日,监测到Apache Log4j 存在多个任意代码执行及DoS拒绝漏洞:CVE-2021-4104:Apache Log4j 1.2.x版本在特定配置时存在JMSAppender 反序列化代码执行漏洞。CVE-2021-44228:该组件存在Java JNDI 注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。CVE-2021-45046:当log4j配置使用非默认模式布局和上下文查找(例如$${ctx:loginId})或线程上下文映射模式(%X、%mdc或%MDC)时,使用JNDI查找模式制作恶意输入数据从而导致拒绝服务(DoS) 攻击。CVE-2021-45105:由于log4j没有防止在自引用查找中不受控制的递归,当日志配置使用带有上下文查找的非默认模式布局(例如,$${ctx:loginId})时,控制线程上下文映射 (MDC) 输入数据的攻击者可以制作包含递归查找的恶意输入数据,导致 StackOverflowError 终止进程,造成DoS攻击。CVE-2021-44832:在某些特殊场景下(如系统采用动态加载远程配置文件的场景等),有权修改日志配置文件的攻击者可以构建恶意配置,通过JDBC Appender 引用JNDI URI 数据源触发JNDI 注入,成功利用此漏洞可以实现远程代码执行。【影响范围】CVE-2021-44228:2.0-beta9 |
【本文地址】
公司简介
联系我们