中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

漏洞利用接踵而至:Apache為Log4j發(fā)布2.17.0新版補丁修復(fù)

2022-10-03    分類: 網(wǎng)站建設(shè)

漏洞利用接踵而至:Apache為Log4j發(fā)布2.17.0新版補丁修復(fù)

在 Log4j 漏洞曝光之后,Apache 軟件基金會于上周二發(fā)布了修補后的 2.17.0 新版本,并于周五晚些發(fā)布了一個新補丁。官方承認(rèn) 2.16 版本無法在查找評估中妥善防止無限遞歸,因而易受 CVE-2021-45105 攻擊的影響。據(jù)悉,這個拒絕服務(wù)(DoS)攻擊的威脅級別相當(dāng)之高,CVSS 評分達到了 7.5 / 10 。

漏洞利用接踵而至:Apache為Log4j發(fā)布2.17.0新版補丁修復(fù)

截圖(via Bleeping Computer)

具體說來是,Apache Log4j2 的 2.0-alpha1 到 2.16.0 版本,均未能防止自引用查找的不受控遞歸。

當(dāng)日志配置使用了帶有上下文查找的非默認(rèn)模式布局時(例如 $${ctx:loginId}),控制線程上下文映射(MDC)數(shù)據(jù)輸入的攻擊者,便可制作一份包含遞歸查找的惡意輸入數(shù)據(jù),從而導(dǎo)致進程因堆棧溢出報錯而被終止。

時隔三天冒出的新問題,是由 Akamai Technologies 的 Hideki Okamoto 和另一位匿名漏洞研究人員所發(fā)現(xiàn)的 —— 此類攻擊又被稱作 DoS(拒絕服務(wù))。

緩解措施包括部署 2.17.0 補丁,并將諸如 ${ctx:loginId}或$${ctx:loginId}之類的上下文查找,替換為日志記錄配置中 PatternLayout 線程的上下文映射模式(如%X、%mdc或%MDC)。

Apache 還建議在 ${ctx:loginId}或$${ctx:loginId}等配置中,刪除對上下文查找的引用 —— 它們源于應(yīng)用程序的外部,比如 HTTP 標(biāo)頭或用戶輸入。

慶幸的是,只有 Log4j 的核心 JAR 文件,受到了 CVE-2021-45105 漏洞的的影響。

漏洞利用接踵而至:Apache為Log4j發(fā)布2.17.0新版補丁修復(fù)

(圖 via Google Security Blog)

周五的時候,網(wǎng)絡(luò)安全研究人員開始發(fā)布有關(guān) 2.16.0 潛在問題的推文,且其中一些人確定了拒絕服務(wù)(DoS)漏洞。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)提出了多項緊急建議,要求聯(lián)邦機構(gòu)盡快在圣誕節(jié)前落實補丁修復(fù)。

與此同時,IBM、思科、VMware 等科技巨頭,也在爭分奪秒地修復(fù)自家產(chǎn)品中的 Log4j 漏洞。

第二波惶恐源于安全公司 Blumira 發(fā)現(xiàn)的另一種 Log4j 攻擊,其能夠利用機器或本地網(wǎng)絡(luò)上的偵聽服務(wù)器來發(fā)起攻擊。

在此之前,許多人誤以為 Log4j 漏洞僅限于暴露的易受攻擊的服務(wù)器。而 Conti 之類的勒索軟件組織,也在積極探索此類漏洞利用方法。

文章標(biāo)題:漏洞利用接踵而至:Apache為Log4j發(fā)布2.17.0新版補丁修復(fù)
文章起源:http://www.rwnh.cn/news27/201227.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供商城網(wǎng)站、品牌網(wǎng)站制作定制開發(fā)、網(wǎng)頁設(shè)計公司、企業(yè)建站網(wǎng)站改版

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

綿陽服務(wù)器托管
师宗县| 孙吴县| 仁寿县| 佳木斯市| 开阳县| 乌兰县| 乌海市| 九龙城区| 汉源县| 安溪县| 巴彦淖尔市| 和政县| 麟游县| 沾益县| 双鸭山市| 红安县| 商南县| 黎川县| 东阿县| 宜丰县| 瑞金市| 郴州市| 牡丹江市| 湖州市| 乐至县| 大邑县| 若尔盖县| 武陟县| 墨玉县| 东阳市| 松滋市| 宁武县| 西林县| 航空| 巴彦淖尔市| 廊坊市| 贵阳市| 阿拉尔市| 咸宁市| 蒲城县| 济源市|