超级会员免费看
博客详细介绍了Log4j连续出现的安全漏洞,包括CVE-2021-45046和CVE-2021-45105。Apache针对这些问题发布了2.15.0、2.16.0和2.17.0版本。CVE-2021-45046涉及线程上下文查找的远程代码执行风险,而CVE-2021-45105可能导致DOS攻击。解决这些漏洞需要升级到JDK8的2.17.0版本,并可能涉及配置修改。
在Log4j 发现远程代码攻击漏洞(CVE-2021-44228 )之后, Apache 随即发布了 2.15.0版本, 但是发布的这个版本在线程上下文查找依旧存在远程代码攻击漏洞(CVE-2021-45046),于是随后又发布了 2.16.0版本; 不幸的是,两天后,Log4j 又被发现了DOS(拒绝服务)的漏洞(CVE-2021-45105), 于是又发布了2.17.0 版本, 截止目前位置, Log4j 在Java 8的**安全版本是2.17.0 **。
关于CVE-2021-44228 漏洞及Spring Boot 的解决方式参考:
Log4j CVE-2021-44228 漏洞及Spring Boot解决方案
CVE-2021-45046 漏洞
-
漏洞描述:线程上下文查找模式在某些非默认配置中容易受到远程代码执行的影响。
-
漏洞细节: 当日志配置使用带有上下文查找的非默认模式布局(例如,$${ctx:loginId})时,控制线程上下文映射 (MDC) 输入数据的攻击者可以使用 JNDI 查找模式制作恶意输入数据ÿ
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
