发现另一个 Log4j 漏洞

作者 : 慕源网 本文共606个字,预计阅读时间需要2分钟 发布时间: 2021-12-30 共136人阅读

在网络安全专家花费数天时间试图修补或缓解 CVE-2021-44228 后,最近发现了围绕 Apache Log4j 的第二个漏洞。 

在美国政府网络官员对全球数亿台设备发出警告并采取行动后,这些设备可能会暴露在基于 Java 的软件 Log4j 上新发现的漏洞中,Apache 软件基金会发布了一个安全修复程序,该基金会管理着Log4j 软件。

新漏洞CVE 2021-45046的调查结果表明,Apache Log4j 2.15.0中针对CVE-2021-44228的修复在某些非默认配置中不完整。

“这可能允许……使用 JNDI 查找模式制作恶意输入数据,从而导致拒绝服务 (DOS) 攻击,” CVE 描述中写道。

Apache Software Foundation 已经发布了一个新补丁 Log4j 2.16.0 来解决该问题。CVE 指出,Log4j 2.16.0 通过删除对消息查找模式的支持和默认禁用 JNDI 功能来解决该问题。 

Netenrich 的首席威胁猎手 John Bambenek告诉 ZDNet,该问题的解决方案是完全禁用 JNDI 功能,这实际上是最新补丁中的默认行为。

全球安全公司 ESET 发布了一张地图,显示了进行 Log4j 漏洞利用尝试的位置,其中美国和英国的数量最多。

发现另一个 Log4j 漏洞

由于该漏洞,许多组织正在遭受攻击。安全平台 Armis 已在其三分之一以上的客户端中检测到 log4shell 攻击尝试。黑客的目标是物理服务器、IP 摄像机、制造设备、虚拟服务器和考勤系统。


慕源网 » 发现另一个 Log4j 漏洞

常见问题FAQ

程序仅供学习研究,请勿用于非法用途,不得违反国家法律,否则后果自负,一切法律责任与本站无关。
请仔细阅读以上条款再购买,拍下即代表同意条款并遵守约定,谢谢大家支持理解!

发表评论

开通VIP 享更多特权,建议使用QQ登录