50岁退休熟女露脸高潮,免费观看又色又爽又黄的校园剧,乱码av麻豆丝袜熟女系列,大地影视mv高清视频在线观看 ,人摸人人人澡人人超碰手机版

?
股票代碼:688225
打開(kāi)微信“掃一掃”,開(kāi)啟安全數(shù)字世界之旅
截圖或長(zhǎng)按保存至相冊(cè),使用微信掃一掃
首頁(yè) > 關(guān)于我們 > 企業(yè)新聞

新聞與活動(dòng)

亞信安全最新資訊與活動(dòng)。

警惕!Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞被公開(kāi)
發(fā)布時(shí)間 :2021年12月29日
類型 :勒索軟件
分享:

漏洞描述

2021年12月29日,亞信安全CERT監(jiān)測(cè)發(fā)現(xiàn)Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞相關(guān)利用PoC在互聯(lián)網(wǎng)公開(kāi)。由于Apache Log4j2中存在JNDI注入漏洞,程序?qū)⒂脩糨斎氲臄?shù)據(jù)進(jìn)行日志記錄時(shí)即可觸發(fā)該漏洞并可在目標(biāo)服務(wù)器上執(zhí)行任意代碼。該漏洞利用過(guò)程需要找到一個(gè)能觸發(fā)遠(yuǎn)程加載并應(yīng)用配置的輸入點(diǎn),迫使服務(wù)器遠(yuǎn)程加載和修改配置的前提下使目標(biāo)系統(tǒng)通過(guò)JNDI遠(yuǎn)程獲取數(shù)據(jù)庫(kù)源,觸發(fā)攻擊者的惡意代碼,經(jīng)亞信安全CERT分析驗(yàn)證,該漏洞利用條件較為苛刻,請(qǐng)用戶注意版本升級(jí)。


Apache Log4j2是美國(guó)阿帕奇(Apache)基金會(huì)的基于Apache Log4j框架進(jìn)行重構(gòu)和升級(jí),引入了大量豐富的特性,可以控制日志信息輸送的目的地為控制臺(tái)、文件、GUI組件等,并通過(guò)定義每一條日志信息的級(jí)別,使其能更加細(xì)致地控制日志的生成過(guò)程。


漏洞編號(hào)


CVE-2021-44832:Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞


漏洞等級(jí)


CVSS 3.0:6.6分

復(fù)現(xiàn)截圖


11.jpg


漏洞狀態(tài)


漏洞細(xì)節(jié)

漏洞PoC

漏洞EXP

在野利用

已公開(kāi)

已公開(kāi)

已公開(kāi)

未發(fā)現(xiàn)


受影響的版本


2.0-Beta7 <= Apache log4j2 <=2.17.0

 

未受影響版本


Apache log4j2 = 2.3.2(基于Java6)

Apache log4j2 = 2.12.4(基于Java7)


修復(fù)建議


鑒于目前Apache log4j2官方已發(fā)布更新,建議使用Apache log4j2用戶盡快升級(jí)至最新版。

 

參考鏈接


https://github.com/apache/logging-log4j2

https://logging.apache.org/log4j/2.x/download.html

https://issues.apache.org/jira/browse/LOG4J2-3293

https://github.com/apache/logging-log4j2/commit/05db5f9527254632b59aed2a1d78a32c5ab74f16

上一篇:威脅周報(bào) | 數(shù)十萬(wàn)公民個(gè)人數(shù)據(jù)泄露,歐洲某國(guó)總理公開(kāi)致歉

下一篇:警惕!Apache APISIX Dashboard未授權(quán)訪問(wèn)漏洞

返回列表
分享到微信
X