股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告
安全通告
警惕!Apache Log4j2远程代码执行漏洞被公开
发布时间 :2021年12月29日
分享:
漏洞描述
2021年12月29日,亚信安全CERT监测发现Apache Log4j2远程代码执行漏洞相关利用PoC在互联网公开。由于Apache Log4j2中存在JNDI注入漏洞,程序将用户输入的数据进行日志记录时即可触发该漏洞并可在目标服务器上执行任意代码。该漏洞利用过程需要找到一个能触发远程加载并应用配置的输入点,迫使服务器远程加载和修改配置的前提下使目标系统通过JNDI远程获取数据库源,触发攻击者的恶意代码,经亚信安全CERT分析验证,该漏洞利用条件较为苛刻,请用户注意版本升级。
Apache Log4j2是美国阿帕奇(Apache)基金会的基于Apache Log4j框架进行重构和升级,引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组件等,并通过定义每一条日志信息的级别,使其能更加细致地控制日志的生成过程。
漏洞编号
CVE-2021-44832:Apache Log4j2远程代码执行漏洞 漏洞等级 CVSS 3.0:6.6分 复现截图 漏洞状态 漏洞细节 漏洞PoC 漏洞EXP 在野利用 已公开 已公开 已公开 未发现 受影响的版本 2.0-Beta7 <= Apache log4j2 <=2.17.0 未受影响版本 Apache log4j2 = 2.3.2(基于Java6) Apache log4j2 = 2.12.4(基于Java7) 修复建议 鉴于目前Apache log4j2官方已发布更新,建议使用Apache log4j2用户尽快升级至最新版。 参考链接 https://github.com/apache/logging-log4j2 https://logging.apache.org/log4j/2.x/download.html https://issues.apache.org/jira/browse/LOG4J2-3293 https://github.com/apache/logging-log4j2/commit/05db5f9527254632b59aed2a1d78a32c5ab74f16
分享到微信
X