Apache Log4j 又暴雷了 。。。
Java后端编程
共 1727字,需浏览 4分钟
·
2022-01-03 09:18
文 | 白开水不加糖
出品 | OSC开源社区(ID:oschina2013)
CVE-2021-44832 | 远程代码执行 |
---|---|
严重性 | 缓和 |
Base CVSS Score | 6.6 (AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H) |
受影响的版本 | 从 2.0-alpha7 到 2.17.0 的所有版本,不包括 2.3.2 和 2.12.4 |
Apache Log4j2 2.0-beta7 到 2.17.0 版本(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行(RCE)攻击,其中有权修改日志配置文件的攻击者可以构建恶意配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 协议来解决。
紧急!Log4j2 刚升级,又爆 “核弹级” 远程数据泄露 !
END
--本文完--
觉得不错,请点个在看呀
评论