Log4j 的重大安全漏洞:CVE-2021-4422

Log4j 這個漏洞大概是這兩天最熱門的話題了~

Log4j 是非常基礎的套件,所以影響範圍非常的大,此篇就簡單記錄一些即可。

Log4j 的重大安全漏洞:CVE-2021-4422

Apache Log4j日誌框架系統重大漏洞(CVE-2021-44228),嚴重程度是10分(最嚴重就是10分)

下述摘錄自此篇:Apache Log4j日誌框架系統重大漏洞(CVE-2021-44228),已出現攻擊行動,需儘速採取緩解措施

  • 漏洞被命名為Log4Shell,CVSS風險分數為滿分10分
  • 漏洞說明
    • 編號為 CVE-2021-44228 的日誌框架系統 Apache Log4j 重大漏洞,肇因於某些功能存在遞迴解析功能,存在 JNDI 注入漏洞,而攻擊者可直接發出惡意請求,觸發遠端程式碼執行漏洞。
  • 影響程度
    • 此漏洞經由 CVSS 3.0 漏洞評分系統評估為10分(最嚴重為10分),屬重大危險等級的漏洞。
    • 由於使用存在漏洞版本的Log4j,將無法防範攻擊者控制LDAP與其他JNDI有關的端點,一旦攻擊者掌握了事件記錄訊息或是參數,有可能在訊息探索啟用的情況下,從LDAP伺服器載入程式碼的管道,執行任意程式碼。

相關網頁

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料