共计 1111 个字符,预计需要花费 3 分钟才能阅读完成。
Log4j 2.17.0 再爆雷
Log4j 1.x, Log4j 2.x, Logback 的破绽刚告一段落,栈长本认为这件事能够在 Log4j v2.17.0 这个版本终结了,没想到。。。
就在昨天,栈长关上公众号,在《团灭!Log4j 1.x 也爆雷了。。。速速弃用!!》一文中,有小伙伴给栈长留言:
WC!又来破绽???
栈长也去 Log4j2 官网验证了下:
Log4j 又发 v2.17.1 了 ,Log4j v2.17.0 又有 近程代码执行破绽 ,加上本次的破绽, 这是 Log4j 2.x 近期暴发的第 5 个破绽了:
- CVE-2021-44832(近程代码执行破绽)
- CVE-2021-45105(拒绝服务攻打破绽)
- CVE-2021-45046(近程代码执行破绽)
- CVE-2021-44228(近程代码执行破绽)
- 信息透露破绽(平安公司 Praetorian 发现)
麻了,麻了,第 5 个了。。
连忙来看看这次的破绽是什么鬼!
CVE-2021-44832
| CVE-2021-44832 | 近程代码执行破绽 |
|---|---|
| 安全等级 | 中 |
| 影响版本 | Log4j <= 2.17.0 |
攻击者,如果有权限批改 Log4j2 的日志配置文件,就能够进行歹意配置构建,行将 JDBC Appender 援用 JNDI URI 数据源,利用 JNDI URI 就能够执行近程代码。
又是 JNDI 搞的鬼,JDNI 这到底是什么破玩意,有工夫栈长再分享一篇,关注公众号 Java 技术栈第一工夫推送哦。
这个破绽的级别和前段时间的《Logback 也爆雷了,惊爆了。。。》类似,都 须要有日志配置文件的批改权限能力进行攻打,所以这个破绽不是很重大,但也不得不防。
最新平安版本:
| JDK 版本 | Log4j2 版本 |
|---|---|
| Java 8+ | v2.17.1 |
| Java 7 | v2.12.4 |
| Java 6 | v2.3.2 |
结语
Log4j v2.17.1 这版本来得有点忽然啊,前段时间的 Log4j v2.17.0 竟然又有 近程代码执行破绽,尽管重大水平不是很高,但呈现破绽就不得不防啊,大家连忙降级保平安吧!
Log4j2 破绽这段时间几乎杀疯了,没完没了,当初还没有看到熄火的节奏,啥时候是个头啊。。。
Log4j2 破绽的后续停顿,栈长也会继续跟进,关注公众号 Java 技术栈,公众号第一工夫推送。
版权申明!!!
本文系公众号 “Java 技术栈 ” 原创,转载、援用本文内容请注明出处,剽窃、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权力。
近期热文举荐:
1.1,000+ 道 Java 面试题及答案整顿(2022 最新版)
2. 劲爆!Java 协程要来了。。。
3.Spring Boot 2.x 教程,太全了!
4.Spring Boot 2.6 正式公布,一大波新个性。。
5.《Java 开发手册(嵩山版)》最新公布,速速下载!
感觉不错,别忘了顺手点赞 + 转发哦!