特片网亚洲,香蕉网大香蕉网,天天日天天干天天拍,免费看无码一级A片在线播放,亚洲三级网站,一级A片黃色A片,国产成人精品免费视频麻豆大全,成人女人毛片视频

文?| 白開水不加糖

出品 | OSC開源社區(qū)（ID：oschina2013）

Apache Log4j 日志庫中發(fā)現(xiàn)了另一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞，現(xiàn)在被跟蹤為 CVE-2021-44832。這是 Log4j 庫中的第三個(gè) RCE 和第四個(gè)漏洞，其次分別是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE)?和 CVE-2021-45105 (DoS 攻擊)。

目前，Apache 團(tuán)隊(duì)已發(fā)布新的?Log4j 版本以修復(fù)新發(fā)現(xiàn)的這一漏洞。根據(jù)介紹，CVE-2021-44832 表現(xiàn)為，當(dāng)攻擊者控制配置時(shí)，Apache Log4j2 通過 JDBC Appender 容易受到 RCE 的攻擊。

CVE-2021-44832	遠(yuǎn)程代碼執(zhí)行
嚴(yán)重性	緩和
Base CVSS Score	6.6 (AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H)
受影響的版本	從 2.0-alpha7 到 2.17.0 的所有版本，不包括 2.3.2 和 2.12.4

Apache Log4j2 2.0-beta7 到 2.17.0 版本（不包括安全修復(fù)版本 2.3.2 和 2.12.4）容易受到遠(yuǎn)程代碼執(zhí)行（RCE）攻擊，其中有權(quán)修改日志配置文件的攻擊者可以構(gòu)建惡意配置將 JDBC Appender 與引用 JNDI URI 的數(shù)據(jù)源一起使用，該 JNDI URI 可以執(zhí)行遠(yuǎn)程代碼。此問題已通過將 JNDI 數(shù)據(jù)源名稱限制為 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 協(xié)議來解決。

Log4j 1.x 不受此漏洞影響。受影響的用戶可升級(jí)到 Log4j 2.3.2（適用于 Java 6）、2.12.4（適用于 Java 7）或 2.17.1（適用于 Java 8 及更高版本），以緩解該漏洞。

在以前的版本中，如果正在使用 JDBC Appender，請(qǐng)確認(rèn)它沒有被配置為使用 Java 以外的任何協(xié)議。官方提醒，只有 log4j-core JAR 文件受此漏洞影響。僅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的應(yīng)用程序不受此漏洞的影響。另外，Apache Log4j 是唯一受此漏洞影響的日志服務(wù)子項(xiàng)目。Log4net 和 Log4cxx 等其他項(xiàng)目不受此影響。

發(fā)布詳情

從版本 2.17.1（以及針對(duì) Java 7 和 Java 6 的 2.12.4 和 2.3.2）開始，JDBC Appender 將使用 JndiManager，并要求 log4j2.enableJndiJdbc 系統(tǒng)屬性包含 true 值以啟用 JNDI。

啟用 JNDI 的屬性已從“l(fā)og4j2.enableJndi”重命名為三個(gè)單獨(dú)的屬性：log4j2.enableJndiLookup、log4j2.enableJndiJms 和 log4j2.enableJndiContextSelector。

JNDI 功能已在以下版本中得到強(qiáng)化：2.3.1、2.12.2、2.12.3 或 2.17.0。從這些版本開始，已刪除對(duì) LDAP 協(xié)議的支持，并且 JNDI 連接僅支持 JAVA 協(xié)議。

詳情可查看此處：https://logging.apache.org/log4j/2.x/security.html。

Apache Log4j 又暴雷了 。。。

Apache Log4j 又暴雷了。。。