日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

在 Log4j 漏洞曝光之后，Apache 軟件基金會(huì)于上周二發(fā)布了修補(bǔ)后的 2.17.0 新版本，并于周五晚些發(fā)布了一個(gè)新補(bǔ)丁。官方承認(rèn) 2.16 版本無(wú)法在查找評(píng)估中妥善防止無(wú)限遞歸，因而易受 CVE-2021-45105 攻擊的影響。據(jù)悉，這個(gè)拒絕服務(wù)(DoS)攻擊的威脅級(jí)別相當(dāng)之高，CVSS 評(píng)分達(dá)到了 7.5 / 10 。

創(chuàng)新互聯(lián)建站堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿(mǎn)足客戶(hù)于互聯(lián)網(wǎng)時(shí)代的橫縣網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

截圖(via Bleeping Computer)

具體說(shuō)來(lái)是，Apache Log4j2 的 2.0-alpha1 到 2.16.0 版本，均未能防止自引用查找的不受控遞歸。

當(dāng)日志配置使用了帶有上下文查找的非默認(rèn)模式布局時(shí)(例如 $${ctx:loginId})，控制線程上下文映射(MDC)數(shù)據(jù)輸入的攻擊者，便可制作一份包含遞歸查找的惡意輸入數(shù)據(jù)，從而導(dǎo)致進(jìn)程因堆棧溢出報(bào)錯(cuò)而被終止。

時(shí)隔三天冒出的新問(wèn)題，是由 Akamai Technologies 的 Hideki Okamoto 和另一位匿名漏洞研究人員所發(fā)現(xiàn)的 —— 此類(lèi)攻擊又被稱(chēng)作 DoS(拒絕服務(wù))。

緩解措施包括部署 2.17.0 補(bǔ)丁，并將諸如 ${ctx:loginId}或$${ctx:loginId}之類(lèi)的上下文查找，替換為日志記錄配置中 PatternLayout 線程的上下文映射模式(如%X、%mdc或%MDC)。

Apache 還建議在 ${ctx:loginId}或$${ctx:loginId}等配置中，刪除對(duì)上下文查找的引用 —— 它們?cè)从趹?yīng)用程序的外部，比如 HTTP 標(biāo)頭或用戶(hù)輸入。

慶幸的是，只有 Log4j 的核心 JAR 文件，受到了 CVE-2021-45105 漏洞的的影響。

(圖 via Google Security Blog)

周五的時(shí)候，網(wǎng)絡(luò)安全研究人員開(kāi)始發(fā)布有關(guān) 2.16.0 潛在問(wèn)題的推文，且其中一些人確定了拒絕服務(wù)(DoS)漏洞。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)提出了多項(xiàng)緊急建議，要求聯(lián)邦機(jī)構(gòu)盡快在圣誕節(jié)前落實(shí)補(bǔ)丁修復(fù)。

與此同時(shí)，IBM、思科、VMware 等科技巨頭，也在爭(zhēng)分奪秒地修復(fù)自家產(chǎn)品中的 Log4j 漏洞。

第二波惶恐源于安全公司 Blumira 發(fā)現(xiàn)的另一種 Log4j 攻擊，其能夠利用機(jī)器或本地網(wǎng)絡(luò)上的偵聽(tīng)服務(wù)器來(lái)發(fā)起攻擊。

在此之前，許多人誤以為 Log4j 漏洞僅限于暴露的易受攻擊的服務(wù)器。而 Conti 之類(lèi)的勒索軟件組織，也在積極探索此類(lèi)漏洞利用方法。

分享標(biāo)題：漏洞利用接踵而至：Apache為L(zhǎng)og4j發(fā)布2.17.0新版補(bǔ)丁修復(fù)
標(biāo)題URL：http://www.dlmjj.cn/article/cdggsgp.html