Apache揭示了另一个Log4j错误所以现在修补

导读Apache似乎无法利用基于Java的日志记录实用程序Log4j,因为现在已经发现了第三个主要漏洞。周五,Apache软件基金会(ASF)发布了一份公告,解

Apache似乎无法利用基于Java的日志记录实用程序Log4j,因为现在已经发现了第三个主要漏洞。周五,Apache软件基金会(ASF)发布了一份公告,解释说一个新发现的漏洞已得到修复。该组织还敦促所有用户立即更新到最新版本的记录器。

简而言之,该缺陷是一个无限递归错误,导致受影响服务器出现DoS条件。以下是ASF描述该问题的方式:

“ApacheLog4j2版本2.0-alpha1到2.16.0没有防止自引用查找的不受控制的递归。当日志配置使用带有上下文查找的非默认模式布局(例如,$${ctx:loginId})时,控制线程上下文映射(MDC)输入数据的攻击者可以制作包含递归查找的恶意输入数据,导致StackOverflowError将终止进程。这也称为DOS(拒绝服务)攻击。”

最新版本的Log4j(2.17.0)可以在这个链接找到,建议用户在运行Log4j的地方安装它。那些无法修补他们的设备的人也可以部署以下临时解决方法之一:

在发现使数百万端点面临数据被盗风险的重大缺陷之后,Log4j实用程序在过去两周内一直处于媒体风暴的中心。

上周,网络安全和基础设施安全局(CISA)主管JenEasterly将其描述为她在整个职业生涯中所见过的“最严重”的缺陷之一,“如果不是最严重的”。

Easterly解释说:“我们预计该漏洞将被老练的参与者广泛利用,我们采取必要措施以减少损害的可能性的时间有限。”

它被跟踪为CVE-2021-44228,并允许恶意行为者运行几乎任何代码。专家警告说,利用该漏洞所需的技能非常低,并敦促大家尽快修补Log4j。

该漏洞与2017年导致Equifax黑客攻击的问题相比较,后者导致近1.5亿人的个人数据暴露。

这个原始漏洞在Log4j版本2.15中得到修复。

免责声明:本文由用户上传,如有侵权请联系删除!