图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

利用apache web服务器日志分析辨认攻击-Apache Log4j 漏洞安全问题升级

近日,Log4j 任意代码执行漏洞安全风险公告再次更新。

漏洞范围已增加到2.15.0版本。

Log4j 是一个开源项目利用apache web服务器日志分析辨认攻击,是 Log4j 的升级版。我们可以控制日志信息传递到控制台、文件、GUI组件等的目的地。通过定义每个日志信息的级别,我们可以更详细地控制日志生成过程。.

近日,奇安信CERT检测到Log4j中存在任意代码执行漏洞(CVE-2021-44228))。经分析,该组件存在Java JNDI注入漏洞。当程序记录用户输入的数据时,可以触发此操作。漏洞,可被成功利用以在目标服务器上执行任意代码。

2021年12月15日,奇安信CERT检测到Log4j正式发布Log4j拒绝服务攻击漏洞(CVE-2021-45046)安全公告),该漏洞可能导致非默认情况下的拒绝服务攻击配置,影响范围扩大。至2.15.0版本,奇安信CERT建议用户尽快升级到安全版本。

目前正式推出Log4j 2.16.0和Log4j 2.12.2两个版本,这两个版本默认禁用JNDI功能。

Java 8 版本用户可以升级到 Log4j 2.16.0 版本:

Java 7 版本用户可以升级到 Log4j 2.12.2 版本:

%2F2.12.2

请及时确认产品版本利用apache web服务器日志分析辨认攻击,及时采取升级措施,消除安全隐患。

图片[1]-利用apache web服务器日志分析辨认攻击-Apache Log4j 漏洞安全问题升级-稻子网

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片