Log4j一個月內第五次漏洞:請升級到2.17.1版本!
Apache 釋出了另一個 Log4j 版本 2.17.1,修復了 2.17.0 中新發現的遠端程式碼執行 (RCE) 漏洞,編號為 CVE-2021-44832。
在今天之前,2.17.0 是 Log4j 的最新版本,被認為是最安全的升級版本,但現在這個建議已經演變。
一個月內五次Log4j CVE
攻擊者對原始Log4Shell 漏洞(CVE-2021-44228) 的大規模利用始於 12 月 9 日左右,當時 GitHub 上出現了針對該漏洞的PoC 漏洞利用。
發現三個漏洞後,建議從2.16版迅速轉向被認為是最安全的2.17.0 版。
現在發現第五個漏洞:一個 RCE 漏洞,被追蹤為 CVE-2021-44832 已在 2.17.0 中發現,並在最新版本 2.17.1 中應用了一個補丁。
該漏洞的嚴重性評級為“中等”,CVSS 評分為 6.6,該漏洞源於缺乏對 log4j 中 JDNI 訪問的額外控制:
- JDBC Appender 在訪問 JNDI 時應該使用 JndiManager。JNDI 訪問應該透過系統屬性來控制。
- 與 CVE-2021-44832 相關,其中有權修改日誌配置檔案的攻擊者可以使用 JDBC Appender 構建惡意配置,其中資料來源引用可以執行遠端程式碼的 JNDI URI。
已經看到 Conti 勒索軟體團伙盯上了 易受攻擊的 VMWare vCenter 伺服器。而攻擊者透過 log4shell 破壞越南加密平臺 ONUS要求 500 萬美元的贖金。
Log4j 使用者應立即升級到最新 版本 2.17.1 (適用於 Java 8)。包含修復程式的反向移植版本 2.12.4 (Java 7) 和 2.3.2 (Java 6) 預計也將很快釋出。
相關文章
- Mac 升級 PHP 到 7.4 版本MacPHP
- Cocospod 升級到指定版本
- 如何將 Ubuntu 版本升級到新版本Ubuntu
- 升級到資料庫到10.2.0.5.0版本資料庫
- PHP版本升級:從php7.1升級到php7.2PHP
- Centos7 升級openssh到最高版本CentOS
- 【MSSQL】MSSQL 從Express版本升級到Enterprise版本SQLExpress
- 寶塔皮膚版本升級實戰教程—升級寶塔皮膚到最新版本
- 從CentOS 7.0升級到7.7版本CentOS
- MacOs 升級 Git 到最新版本MacGit
- npm node升級到最新版本NPM
- MySQL升級從5.1.71到5.7.17版本MySql
- oracle版本升級:從11.2.0.1到11.2.0.3Oracle
- Firebird從2.1版本升級到2.5版本
- Log4J 2.16.0版本又爆新漏洞
- 應用升級SpringCloud版本時的注意事項(Dalston升級到Edgware)SpringGCCloud
- node 版本升級
- gcc版本升級GC
- NiFi版本升級Nifi
- 升級到PHP5.4.3遇到的一個錯誤PHP
- Elasticsearch 史詩級 log4j 漏洞解決Elasticsearch
- mysql 5.6 升級 到 5.7 的二進位制升級方法 另一個簡便思路.MySql
- 記一次mysql小版本升級MySql
- win10內部版本怎麼升級 windows10正式版系統版本升級方法介紹Win10Windows
- centos7 openssl升級版本到OpenSSL 1.1.1nCentOS
- MySQL 5.6.47升級到5.7.20(一)MySql
- python版本升級Python
- NVIDIA顯示卡驅動曝出5個高危漏洞:升級最新431.60版本可解決
- Oracle舊版本透過資料遷移方式升級到新版本Oracle
- win7如何升級到win10系統版本 win7免費升級到win10Win7Win10
- 微軟Visual Studio 2012第五次升級微軟
- 升級到MySQL 5.0.17一定遇到的四個問題MySql
- 記一次版本升級遇到的坑
- 如何升級電腦windows版本 windows系統版本升級方法介紹Windows
- Win10怎麼升級版本 Win10升級版本的方法Win10
- YourSQLDba版本升級總結SQL
- GitLab跨版本升級Gitlab
- Redis的跨版本升級Redis