Log4j 這個漏洞大概是這兩天最熱門的話題了~
Log4j 是非常基礎的套件,所以影響範圍非常的大,此篇就簡單記錄一些即可。
Log4j 的重大安全漏洞:CVE-2021-4422
Apache Log4j日誌框架系統重大漏洞(CVE-2021-44228),嚴重程度是10分(最嚴重就是10分)
- log4j 影響到的軟體清單:log4shell/software at main · NCSC-NL/log4shell
下述摘錄自此篇:Apache Log4j日誌框架系統重大漏洞(CVE-2021-44228),已出現攻擊行動,需儘速採取緩解措施
- 漏洞被命名為Log4Shell,CVSS風險分數為滿分10分
- 漏洞說明
- 編號為 CVE-2021-44228 的日誌框架系統 Apache Log4j 重大漏洞,肇因於某些功能存在遞迴解析功能,存在 JNDI 注入漏洞,而攻擊者可直接發出惡意請求,觸發遠端程式碼執行漏洞。
- 影響程度
- 此漏洞經由 CVSS 3.0 漏洞評分系統評估為10分(最嚴重為10分),屬重大危險等級的漏洞。
- 由於使用存在漏洞版本的Log4j,將無法防範攻擊者控制LDAP與其他JNDI有關的端點,一旦攻擊者掌握了事件記錄訊息或是參數,有可能在訊息探索啟用的情況下,從LDAP伺服器載入程式碼的管道,執行任意程式碼。