Log4j 這個漏洞大概是這兩天最熱門的話題了~
Log4j 是非常基礎的套件,所以影響範圍非常的大,此篇就簡單記錄一些即可。
Log4j 的重大安全漏洞:CVE-2021-4422
Apache Log4j日誌框架系統重大漏洞(CVE-2021-44228),嚴重程度是10分(最嚴重就是10分)
- log4j 影響到的軟體清單:log4shell/software at main · NCSC-NL/log4shell
下述摘錄自此篇:Apache Log4j日誌框架系統重大漏洞(CVE-2021-44228),已出現攻擊行動,需儘速採取緩解措施
- 漏洞被命名為Log4Shell,CVSS風險分數為滿分10分
- 漏洞說明
- 編號為 CVE-2021-44228 的日誌框架系統 Apache Log4j 重大漏洞,肇因於某些功能存在遞迴解析功能,存在 JNDI 注入漏洞,而攻擊者可直接發出惡意請求,觸發遠端程式碼執行漏洞。
- 影響程度
- 此漏洞經由 CVSS 3.0 漏洞評分系統評估為10分(最嚴重為10分),屬重大危險等級的漏洞。
- 由於使用存在漏洞版本的Log4j,將無法防範攻擊者控制LDAP與其他JNDI有關的端點,一旦攻擊者掌握了事件記錄訊息或是參數,有可能在訊息探索啟用的情況下,從LDAP伺服器載入程式碼的管道,執行任意程式碼。
相關網頁
- Log4jの脆弱性 CVE-2021-44228 (Log4shell or LogJam) について - 圖解
- Remote code injection in Log4j · CVE-2021-44228 · GitHub Advisory Database · GitHub
- Zero-Day Exploit Targeting Popular Java Library Log4j
- 資安廠商已觀察到利用 Log4j Java 嚴重0-day 漏洞發動的勒贖攻擊
- 一文了解 Log4j 核彈級資安漏洞,為何嚴重到火星也受害?