【安全通告】Apache log4j2 远程代码执行漏洞风险通告(CVE-2021-44832)
腾讯云安全运营中心监测到,Apache Log4j2 官方发布公告提示其在某些特殊场景下存在远程代码执行漏洞,漏洞编号CVE-2021-44832。该漏洞仅在攻击者拥有修改配置文件权限时才可远程执行任意代码,漏洞利用难度较大。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache Log4j2 是一个基于Java的开源日志记录框架,该框架重写了Log4j框架,是其前身Log4j 1.x 的重写升级版,并且引入了大量丰富的特性,使用非常的广泛。该框架被大量用于业务系统开发,用来记录日志信息。
据官方描述,拥有修改日志配置文件权限的攻击者,可以构造恶意的配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,从而可通过该 JNDI URI 远程执行任意代码。 由于该漏洞要求攻击者拥有修改配置文件权限(通常需借助其他漏洞才可实现),非默认配置存在的问题,漏洞成功利用难度较大。
风险等级
中风险
漏洞风险
攻击者利用该漏洞可导致远程代码执行
影响版本
2.0-beta7 =< Apache Log4j 2.x < 2.17.0(2.3.2 和 2.12.4 版本不受影响)
安全版本
Log4j >= 2.3.2 (Java 6) Log4j >= 2.12.4 (Java 7) Log4j >= 2.17.1 (Java 8 及更新版)
修复建议
目前Apache Log4j2 官方已有可更新版本,漏洞实际风险一般,建议用户保持关注;如有需要,再酌情进行升级。
官方链接:
https://logging.apache.org/log4j/2.x/download.html
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考:
https://logging.apache.org/log4j/2.x/security.html
Apache log4j2 漏洞相关推荐:
【安全通告】APISIX Dashboard 未授权访问漏洞风险通告(CVE-2021-45232)
【安全通告】Apache Log4j 2 远程代码执行漏洞(CVE-2021-45046)
【修复升级】腾讯容器安全首个发布开源 Log4j2 漏洞缓解工具
【安全通告】Windows域服务权限提升漏洞(CVE-2021-42287, CVE-2021-42278)
腾讯容器安全服务首推Apache Log4j2漏洞线上修复方案
【漏洞更新情报】Apache Log4j 2 远程代码执行漏洞风险更新公告
END
更多精彩内容点击下方扫码关注哦~
云鼎实验室视频号
一分钟走进趣味科技
-扫码关注我们-
关注云鼎实验室,获取更多安全情报
相关文章
- Xcode13 适配之打印启动时间
- 教你3 个 Python 编程小技巧
- Python爬虫利器Selenium从入门到进阶
- 内网渗透中的 Net-NTLM Relay Attack
- python与分形0016 - 【教程】字符矩阵
- 手把手教你从零开始实现C++协程
- 谷歌地图之类的api要在 maui 里面使用, 需要授权0.0.0.0的IP
- 萝卜爆肝Python爬虫学习路线
- 词云绘制,推荐三种 Python包外加一个在线网站!
- [源码解析] PyTorch分布式优化器(3)---- 模型并行
- X-Gorgon算法参数获取(python版,附源码)
- 面试突击87:说一下 Spring 事务传播机制?
- 100道Python练习题,看看你能会几题!?
- Python地图绘制工具folium更换地图底图样式全攻略
- 【爬虫+可视化】Python爬取疫情数据,并做可视化展示
- 面试突击80:说一下 Spring 中 Bean 的生命周期?
- 面试突击45:为什么要用读写锁?它有什么优点?
- 面试突击43:lock、tryLock、lockInterruptibly有什么区别?
- synchronized有几种用法?
- try-catch-finally中的4个大坑,不小心就栽进去了!