50岁退休熟女露脸高潮,免费观看又色又爽又黄的校园剧,乱码av麻豆丝袜熟女系列,大地影视mv高清视频在线观看 ,人摸人人人澡人人超碰手机版

?
股票代碼:688225
打開微信“掃一掃”,開啟安全數(shù)字世界之旅
截圖或長按保存至相冊,使用微信掃一掃
首頁 > 關(guān)于我們 > 企業(yè)新聞

新聞與活動(dòng)

亞信安全最新資訊與活動(dòng)。

Apache Log4j-2拒絕服務(wù)漏洞,將觸發(fā)無限循環(huán),導(dǎo)致系統(tǒng)崩潰
發(fā)布時(shí)間 :2021年12月19日
類型 :勒索軟件
分享:


一、漏洞描述


2021年12月18日,亞信安全CERT監(jiān)測發(fā)現(xiàn)Apache官方發(fā)布新版本,修復(fù)了Apache Log4j2 拒絕服務(wù)攻擊漏洞(CVE-2021-45105)。當(dāng)系統(tǒng)日志配置使用帶有Context lookups的非默認(rèn)Pattern Layout時(shí),攻擊者可構(gòu)造包含遞歸查找的惡意輸入數(shù)據(jù),成功利用此漏洞將觸發(fā)無限循環(huán),最終導(dǎo)致系統(tǒng)崩潰。


Apache Log4j 1.x并不受此漏洞影響。只有l(wèi)og4j-core依賴受此漏洞影響,若僅使用log4j-api而不使用log4j-core依賴的應(yīng)用程序亦不受此漏洞影響。


目前官方已提供修復(fù)補(bǔ)丁,鑒于該漏洞受影響面廣大且在未來一段時(shí)間存在繞過風(fēng)險(xiǎn),亞信安全CERT建議使用Apache Log4j-2的用戶應(yīng)盡快排查所使用的版本并采取相關(guān)措施。請大家及時(shí)關(guān)注公眾號和官方安全通告。


Apache Log4j-2是美國阿帕奇(Apache)公司的基于Apache Log4j框架進(jìn)行重構(gòu)和升級,引入了大量豐富的特性,可以控制日志信息輸送的目的地為控制臺、文件、GUI組件等,并通過定義每一條日志信息的級別,使其能更加細(xì)致地控制日志的生成過程。


二、漏洞編號



 CVE-2021-45105 : Apache Log4j-2拒絕服務(wù)漏洞

 

三、漏洞評分


 暫無

 

四、漏洞狀態(tài)

 

image.png

   

五、受影響的版本


 2.0-Beta9 <= Apache <= 2.16.0

 

六、修復(fù)建議


  • 鑒于Apache log4j-2官方已經(jīng)發(fā)布更新版本,請盡快升級至2.17.0版本。

  • 臨時(shí)性緩解措施

  • 在日志配置的PatternLayout中,用Thread Context Map模式(%X、%mdc、%MDC)替換${ctx:loginId}或$${ctx:loginId}等Context Lookups;

  • 在系統(tǒng)接收應(yīng)用程序外部數(shù)據(jù)的場景中,在配置中刪除對Context Lookups的引用(如${ctx:loginId}或$${ctx:loginId})。

七、Apache Log4j-2 漏洞時(shí)間線



2021年12月9日

亞信安全CERT監(jiān)測到Apache Log4j-2遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-44228)。


2021年12月10日

亞信安全CERT確認(rèn)Apache Log4j-2 2.15.0-rc1 版本僅修復(fù)LDAP和增加了host白名單,非默認(rèn)配置下可以被繞過利用;官方對此發(fā)布了Apache Log4j-2 2.15.0-rc2版本(與2.15.0穩(wěn)定版相同)進(jìn)行修復(fù),增加了對urI異常的處理。


2021年12月12日

亞信安全CERT監(jiān)測發(fā)現(xiàn)Apache官方發(fā)布了Apache log4j-2 2.15.1-rc1版本,并在默認(rèn)配置中禁用了JNDI和Message lookups功能。


2021年12月13日

亞信安全CERT監(jiān)測發(fā)現(xiàn)Apache官方發(fā)布了Apache Log4j-2 2.16.0-rc1(與2.16.0穩(wěn)定版相同)版本,此版本在2.15.1-rc1的基礎(chǔ)上,移除掉了存在漏洞的Message lookups功能。


2021年12月14日

亞信安全CERT監(jiān)測發(fā)現(xiàn)Apache官方公開了Apache Log4j 1.2.x版本在特定配置時(shí)存在JMSAppender反序列化代碼執(zhí)行漏洞(CVE-2021-4104),同日發(fā)布了Apache Log4j-2 2.12.2-rc1(與2.12.2穩(wěn)定版相同)版本,默認(rèn)配置禁用了JNDI,并移除掉存在漏洞的Message lookups功能,此版本支持Java 7。


2021年12月15日

亞信安全CERT監(jiān)測發(fā)現(xiàn)Apache官方公開披露Apache Log4j-2的DoS漏洞(CVE-2021-45046)。


2021年12月17日

亞信安全CERT監(jiān)測發(fā)現(xiàn)Apache log4j-2的DoS漏洞被更新為代碼執(zhí)行漏洞(CVE-2021-45046),同期CVSS評分從3.7上升為9.0分。


2021年12月18日

亞信安全CERT監(jiān)測發(fā)現(xiàn)Apache官方發(fā)布了Apache Log4j-2 2.17.0版本,公開了Apache Log4j-2存在Dos漏洞(CVE-2021-45105)。


八、Apache log4j-2漏洞安全版本


CVE-2021-44228

Apache Log4j-2 <= 2.15.0-rc1


CVE-2021-45046

2.0-beta9 <= Apache Log4j <= 2.12.1

2.13.0<= Apache Log4j <= 2.15.0-rc2(與2.15.0穩(wěn)定版相同)

注:該漏洞只有l(wèi)og4j-core的jar文件受此漏洞影響。


CVE-2021-4104

Apache Log4j =1.2.x


CVE-2021-45105

2.0-alpha1 <= Apache Log4j <=2.16.0


注:目前 Apache log4j-2 安全版本

Java 6 版本可使用 Apache log4j-2 2.3版本

Java 7 版本可使用 Apache log4j-2 2.12.2版本

Java 8 及以上版本可使用 Apache log4j-2 2.17.0版本

目前針對Apache log4j 1.x版本已在2015年停止維護(hù)

九、參考鏈接


https://logging.apache.org/log4j/2.x/download.html

上一篇:威脅周報(bào) | 180萬客戶信用卡數(shù)據(jù)被盜,你的信用卡還安全嗎?

下一篇:緊急!利用工具已公開,Microsoft Windows Active Directory 域服務(wù)權(quán)限提升漏洞安全風(fēng)險(xiǎn)通告

返回列表
分享到微信
X