金沙娱场城(8087·China)官网-BinG百科NO.1


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

警惕!Apache Log4j2远程代码执行漏洞被公开
发布时间 :2021年12月29日
分享:

漏洞描述

2021年12月29日,8087金沙娱场城CERT监测发现Apache Log4j2远程代码执行漏洞相关利用PoC在互联网公开。由于Apache Log4j2中存在JNDI注入漏洞,程序将用户输入的数据进行日志记录时即可触发该漏洞并可在目标服务器上执行任意代码。该漏洞利用过程需要找到一个能触发远程加载并应用配置的输入点,迫使服务器远程加载和修改配置的前提下使目标系统通过JNDI远程获取数据库源,触发攻击者的恶意代码,经8087金沙娱场城CERT分析验证,该漏洞利用条件较为苛刻,请用户注意版本升级。


Apache Log4j2是美国阿帕奇(Apache)基金会的基于Apache Log4j框架进行重构和升级,引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组件等,并通过定义每一条日志信息的级别,使其能更加细致地控制日志的生成过程。


漏洞编号


CVE-2021-44832:Apache Log4j2远程代码执行漏洞


漏洞等级


CVSS 3.0:6.6分

复现截图


11.jpg


漏洞状态


漏洞细节

漏洞PoC

漏洞EXP

在野利用

已公开

已公开

已公开

未发现


受影响的版本


2.0-Beta7 <= Apache log4j2 <=2.17.0

 

未受影响版本


Apache log4j2 = 2.3.2(基于Java6)

Apache log4j2 = 2.12.4(基于Java7)


修复建议


鉴于目前Apache log4j2官方已发布更新,建议使用Apache log4j2用户尽快升级至最新版。

 

参考链接


https://github.com/apache/logging-log4j2

https://logging.apache.org/log4j/2.x/download.html

https://issues.apache.org/jira/browse/LOG4J2-3293

https://github.com/apache/logging-log4j2/commit/05db5f9527254632b59aed2a1d78a32c5ab74f16

分享到微信
X