漏洞概述
近日,WebRAY安全服务部监测到编号为CVE-2021-44832的Apache Log4j2远程代码执行漏洞。攻击者可以通过修改配置文件中JNDI 动态及远程获取数据库源处插入恶意代码,造成远程代码执行漏洞,但想要成功利用该漏洞需要攻击者有权限修改Log4j2的配置文件,利用难度较高。WebRAY安全服务部建议相关用户采取安全措施防止漏洞攻击。
Apache Log4j2是Log4j的升级版本,该版本与之前的log4j1.x相比性能显著提升;在修复了一些存在于Logback中固有的问题的同时,提供了很多在Logback中可用的性能。Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
WebRAY安全服务部也将持续关注该漏洞进展,第一时间为您更新该漏洞信息。
影响范围
2.0-beta7 <= Log4j2<= 2.17.0(不包括安全修复版本 2.3.2 和 2.12.4)
漏洞等级
WebRAY安全服务部风险评级:中危
修复建议
建议用户及时升级到Log4j 2.3.2(适用于Java 6)、2.12.4(适用于Java 7)或 2.17.1(适用于 Java 8 及更高版本),官方下载地址:
https://logging.apache.org/log4j/2.x/download.html
注:从2.17.1版本(适用于 Java 8 及更高版本)、2.12.4(适用于Java 7)、2.3.2(适用于Java 6)开始,已删除对LDAP协议的支持,并且 JNDI 连接仅支持JAVA协议。启用JNDI的属性已从“log4j2.enableJndi”重命名为三个单独的属性:log4j2.enableJndiLookup、log4j2.enableJndiJms和
log4j2.enableJndiContextSelector。
参考链接
https://logging.apache.org/log4j/2.x/security.html
https://github.com/apache/logging-log4j2
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832
相关推荐
-
儿童智力小游戏有哪些(儿童智力游戏大全)
大家小时候有没有玩过走迷宫的小游戏呢?你们知道吗,走迷宫这个看起来很不起眼的小游戏,却对我们有很多的好处第一 可以培养我们的方向感第二 培养记忆能力第三 培养空间能力第四 培养逻辑思维能力第五 培养观察能力走迷宫这个游戏对小孩子特别好,尤其是幼儿时期,幼儿时期是人这一生中智力的发育阶段,在这个时期可
-
英雄联盟s11全球总决赛举办时间(2021英雄联盟s11总决赛时间)
中新网客户端8月2日电 2020英雄联盟全球总决赛(S10)将全程在上海举办,赛事从9月25日开始,冠亚军决赛将于10月31日在浦东足球场举行;此外,2021年英雄联盟全球总决赛仍将在中国举办。上述消息,于1日正在上海举办的2020Chinajoy全球电竞大会上对外正式发布。浦东足球场效果图。202
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请通知我们,一经查实,本站将立刻删除。