投稿
  1. 首页
  2. 随笔

Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31

电表倒表器 2022-12-17 随笔 阅读 82

Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31,第1张

Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31

还是稍微记录一下这个害得大家加班的大bug。

发生版本

Log4j versions 2.0 through 2.14.1。

(更新到2.15也不行。)

解决方案 升级到2.17.0

2.16还是有bug。

https://logging.apache.org/log4j/2.x/

如果不能升级
  1. 加JVM参数:-Dlog4j2.formatMsgNoLookups=true
  2. 如果没有用,直接删掉:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
后话

一顿 *** 作猛如虎,感觉还是有些反应过度了。

一般都是直接扫描,一旦发现,换!

但是,不是所有的系统都是面向网络的,一个后台小工具,急什么。

要实现这个攻击,一般要先构造一个HTTP请求,然后把payload放到Header里,比如:User-Agent。

没有暴露到网络的应用,原则上来说是没有很大风险的。

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

https://blogs.juniper.net/en-us/security/apache-log4j-vulnerability-cve-2021-44228-raises-widespread-concerns

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zaji/5686220.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
电表倒表器 电表倒表器 一级用户组
0 0
上一篇 2022-12-17
下一篇 2022-12-17

发表评论

登录后才能评论

评论列表(0条)

保存