炸了!Log4j2 再爆漏洞,v2.17.1 橫空出世。。。
Log4j 2.17.0 再爆雷
Log4j 1.x, Log4j 2.x, Logback 的漏洞剛告一段落,棧長本以為這件事可以在 Log4j v2.17.0 這個版本終結了,沒想到。。。
就在昨天,棧長開啟公眾號,在《團滅!Log4j 1.x 也爆雷了。。。速速棄用!!》一文中,有小夥伴給棧長留言:
WC!又來漏洞???
棧長也去 Log4j2 官方驗證了下:
Log4j 又發 v2.17.1 了,Log4j v2.17.0 又有遠端程式碼執行漏洞,加上本次的漏洞,這是 Log4j 2.x 近期爆發的第 5 個漏洞了:
- CVE-2021-44832(遠端程式碼執行漏洞)
- CVE-2021-45105(拒絕服務攻擊漏洞)
- CVE-2021-45046(遠端程式碼執行漏洞)
- CVE-2021-44228(遠端程式碼執行漏洞)
- 資訊洩漏漏洞(安全公司 Praetorian 發現)
麻了,麻了,第 5 個了。。
趕緊來看看這次的漏洞是什麼鬼!
CVE-2021-44832
| CVE-2021-44832 | 遠端程式碼執行漏洞 |
|---|---|
| 安全等級 | 中 |
| 影響版本 | Log4j <= 2.17.0 |
攻擊者,如果有許可權修改 Log4j2 的日誌配置檔案,就可以進行惡意配置構建,即將 JDBC Appender 引用 JNDI URI 資料來源,利用 JNDI URI 就可以執行遠端程式碼。
又是 JNDI 搞的鬼,JDNI 這到底是什麼破玩意,有時間棧長再分享一篇,關注公眾號Java技術棧第一時間推送哦。
這個漏洞的級別和前段時間的《Logback 也爆雷了,驚爆了。。。》相似,都需要有日誌配置檔案的修改許可權才能進行攻擊,所以這個漏洞不是很嚴重,但也不得不防。
最新安全版本:
| JDK 版本 | Log4j2 版本 |
|---|---|
| Java 8+ | v2.17.1 |
| Java 7 | v2.12.4 |
| Java 6 | v2.3.2 |
結語
Log4j v2.17.1 這版本來得有點突然啊,前段時間的 Log4j v2.17.0 居然又有遠端程式碼執行漏洞,雖然嚴重程度不是很高,但出現漏洞就不得不防啊,大家趕緊升級保平安吧!
Log4j2 漏洞這段時間簡直殺瘋了,沒完沒了,現在還沒有看到熄火的節奏,啥時候是個頭啊。。。
Log4j2 漏洞的後續進展,棧長也會持續跟進,關注公眾號Java技術棧,公眾號第一時間推送。
版權宣告!!!
本文系公眾號 "Java技術棧" 原創,轉載、引用本文內容請註明出處,抄襲、洗稿一律投訴侵權,後果自負,並保留追究其法律責任的權利。
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2022最新版)
4.Spring Boot 2.6 正式釋出,一大波新特性。。
覺得不錯,別忘了隨手點贊+轉發哦!