50岁退休熟女露脸高潮,免费观看又色又爽又黄的校园剧,乱码av麻豆丝袜熟女系列,大地影视mv高清视频在线观看 ,人摸人人人澡人人超碰手机版

?
股票代碼:688225
打開微信“掃一掃”,開啟安全數(shù)字世界之旅
截圖或長按保存至相冊,使用微信掃一掃
首頁 > 關(guān)于我們 > 企業(yè)新聞

新聞與活動

亞信安全最新資訊與活動。

緊急!“無門檻”利用,Apache Log4j-2 任意代碼執(zhí)行漏洞通告
發(fā)布時間 :2021年12月10日
類型 :勒索軟件
分享:


漏洞描述



2021年12月9日,亞信安全 CERT監(jiān)測發(fā)現(xiàn) Apache Log4j-2任意代碼執(zhí)行漏洞相關(guān)利用PoC在互聯(lián)網(wǎng)公開。由于Apache Log4j-2中存在JNDI注入漏洞,程序?qū)⒂脩糨斎氲臄?shù)據(jù)進行日志記錄時即可觸發(fā)該漏洞并可在目標(biāo)服務(wù)器上執(zhí)行任意代碼。


目前官方已提供修復(fù)補丁,鑒于該漏洞受影響面廣大(Apache Struts2、Solr、Flink、Druid等眾多組件與大型應(yīng)用均受影響),亞信安全CERT建議使用Apache Log4j-2的用戶盡快采取相關(guān)措施。


Apache Log4j-2 是美國阿帕奇(Apache)公司的基于Apache Log4j框架進行重構(gòu)和升級,引入了大量豐富的特性,可以控制日志信息輸送的目的地為控制臺、文件、GUI組件等,并通過定義每一條日志信息的級別,使其能更加細(xì)致地控制日志的生成過程。


漏洞編號



暫未分配 CVE 編號


漏洞等級

 

緊急


復(fù)現(xiàn)截圖



11.jpg


漏洞狀態(tài)


12.jpg



受影響的版本



Apache Log4j-2 <= 2.14.1


亞信安全產(chǎn)品解決方案


  • 亞信安全信桅深度威脅發(fā)現(xiàn)設(shè)備TDA產(chǎn)品6.0及以上版本請及時更新NetStack引擎PTN版本至NSP$1000.086;

  • 亞信安全信艙DS產(chǎn)品不同版本的定制dpi規(guī)則請聯(lián)系網(wǎng)絡(luò)威脅服務(wù)部或官網(wǎng)800電話;

修復(fù)建議


  • 鑒于官方發(fā)布的2.15.0-rc1存在繞過,請盡快升級至2.15.0-rc2版。

  • 臨時性緩解措施

  • 在jvm啟動參數(shù)中添加 -Dlog4j2.formatMsgNoLookups=true

  • 在classpath下創(chuàng)建"log4j2.component.properties"配置文件并增加配置"log4j2.formatMsgNoLookups=true"

  • 系統(tǒng)環(huán)境變量中將FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設(shè)置為true

參考鏈接


https://github.com/apache/logging-log4j2

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2


上一篇:緊急!利用工具已公開,Microsoft Windows Active Directory 域服務(wù)權(quán)限提升漏洞安全風(fēng)險通告

下一篇:威脅周報 | 新冠變種奧密克戎已被網(wǎng)絡(luò)釣魚者利用

返回列表
分享到微信
X