拨开荷叶行,寻梦已然成。仙女莲花里,翩翩白鹭情。
IMG-LOGO
主页 文章列表 炸了!Log4j2 再爆漏洞,v2.17.1 横空出世。。。

炸了!Log4j2 再爆漏洞,v2.17.1 横空出世。。。

白鹭 - 2022-03-15 2130 0 0

Log4j 2.17.0 再爆雷

Log4j 1.x, Log4j 2.x, Logback 的漏洞刚告一段落,堆栈长本以为这件事可以在 Log4j v2.17.0 这个版本终结了,没想到,,,

就在昨天,堆栈长打开公众号,在《团灭!Log4j 1.x 也爆雷了,,,速速弃用!!》一文中,有小伙伴给堆栈长留言:

WC!又来漏洞???

堆栈长也去 Log4j2 官方验证了下:

Log4j 又发 v2.17.1 了,Log4j v2.17.0 又有远程代码执行漏洞,加上本次的漏洞,这是 Log4j 2.x 近期爆发的第 5 个漏洞了:

  • CVE-2021-44832(远程代码执行漏洞)
  • CVE-2021-45105(拒绝服务攻击漏洞)
  • CVE-2021-45046(远程代码执行漏洞)
  • CVE-2021-44228(远程代码执行漏洞)
  • 信息泄漏漏洞(安全公司 Praetorian 发现)

麻了,麻了,第 5 个了,,

赶紧来看看这次的漏洞是什么鬼!

CVE-2021-44832

CVE-2021-44832 远程代码执行漏洞
安全等级
影响版本 Log4j <= 2.17.0

攻击者,如果有权限修改 Log4j2 的日志组态档,就可以进行恶意配置构建,即将 JDBC Appender 参考 JNDI URI 资料源,利用 JNDI URI 就可以执行远程代码,

又是 JNDI 搞的鬼,JDNI 这到底是什么破玩意,有时间堆栈长再分享一篇,关注公众号Java技术堆栈第一时间推送哦,

这个漏洞的级别和前段时间的《Logback 也爆雷了,惊爆了,,,》相似,都需要有日志组态档的修改权限才能进行攻击,所以这个漏洞不是很严重,但也不得不防,

最新安全版本:

JDK 版本 Log4j2 版本
Java 8+ v2.17.1
Java 7 v2.12.4
Java 6 v2.3.2

结语

Log4j v2.17.1 这版本来得有点突然啊,前段时间的 Log4j v2.17.0 居然又有远程代码执行漏洞,虽然严重程度不是很高,但出现漏洞就不得不防啊,大家赶紧升级保平安吧!

Log4j2 漏洞这段时间简直杀疯了,没完没了,现在还没有看到熄火的节奏,啥时候是个头啊,,,

Log4j2 漏洞的后续进展,堆栈长也会持续跟进,关注公众号Java技术堆栈,公众号第一时间推送,

近期热文推荐:

1.1,000+ 道 Java面试题及答案整理(2022最新版)

2.劲爆!Java 协程要来了,,,

3.Spring Boot 2.x 教程,太全了!

4.Spring Boot 2.6 正式发布,一大波新特性,,

5.《Java开发手册(嵩山版)》最新发布,速速下载!

觉得不错,别忘了随手点赞+转发哦!

标签:

0 评论

发表评论

您的电子邮件地址不会被公开。 必填的字段已做标记 *