【漏洞预警】Apache Log4j2远程代码执行漏洞(CVE-2021-44832)

2021-12-29 7,610


1. 通告信息



近日,安识科技A-Team团队监测到一则Apache Log4j2远程代码执行漏洞的信息,当前官方已发布受影响的补丁。

对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。


2. 漏洞概述



Apache Log4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。
CVE-2021-44832
12月28日,Apache Log4j2官方发布安全公告,Apache Log4j2组件中存在一个远程代码执行漏洞(CVE-2021-44832),其CVSS评分6.6。


3. 漏洞危害



拥有修改日志配置文件权限的攻击者可以使用JDBC Appender构建恶意配置,其数据源引用JNDI URI,可以远程执行代码,但该漏洞利用需要配置文件jdbc连接可控。

 

4. 影响版本



2.0-beta7 =< Apache Log4j 2.x < 2.17.0(2.3.2 和 2.12.4 版本不受影响)

 

5. 解决方案



目前此漏洞已经修复,建议受影响用户及时升级到 Log4j 2.3.2(适用于 Java 6)、2.12.4(适用于 Java 7)或 2.17.1(适用于 Java 8 及更高版本)。下载链接:https://logging.apache.org/log4j/2.x/download.html

 

6. 时间轴



-2021年1229 安识科技A-Team团队监测到Apache官方发布安全补丁

-2021年1229 安识科技A-Team团队根据官方公告分析

-2021年1229 安识科技A-Team团队发布安全通告


本文作者:安识科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/172152.html

Tags:
评论  (0)
快来写下你的想法吧!

安识科技

文章数:128 积分: 135

安识科技:专业的企业安全解决方案提供商。官网:https://www.duoyinsu.com/

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号