首页 > 业界 > 关键词  > log4j最新资讯  > 正文

漏洞利用接踵而至:Apache为Log4j发布2.17.0新版补丁修复

2021-12-20 19:22 · 稿源: cnbeta

在 Log4j 漏洞曝光之后,Apache 软件基金会于上周二发布了修补后的 2.17.0 新版本,并于周五晚些发布了一个新补丁。官方承认 2.16 版本无法在查找评估中妥善防止无限递归,因而易受 CVE-2021-45105 攻击的影响。据悉,这个拒绝服务(DoS)攻击的威胁级别相当之高,CVSS 评分达到了 7.5 / 10 。

截图(via Bleeping Computer)

具体说来是,Apache Log4j2 的 2.0-alpha1 到 2.16.0 版本,均未能防止自引用查找的不受控递归。

当日志配置使用了带有上下文查找的非默认模式布局时(例如$${ctx:loginId}),控制线程上下文映射(MDC)数据输入的攻击者,便可制作一份包含递归查找的恶意输入数据,从而导致进程因堆栈溢出报错而被终止。

时隔三天冒出的新问题,是由 Akamai Technologies 的 Hideki Okamoto 和另一位匿名漏洞研究人员所发现的 —— 此类攻击又被称作 DoS(拒绝服务)。

缓解措施包括部署 2.17.0 补丁,并将诸如${ctx:loginId}$${ctx:loginId} 之类的上下文查找,替换为日志记录配置中 PatternLayout 线程的上下文映射模式(如%X%mdc%MDC)。

Apache 还建议在${ctx:loginId}$${ctx:loginId} 等配置中,删除对上下文查找的引用 —— 它们源于应用程序的外部,比如 HTTP 标头或用户输入。

庆幸的是,只有 Log4j 的核心 JAR 文件,受到了 CVE-2021-45105 漏洞的的影响。

(图 via Google Security Blog)

周五的时候,网络安全研究人员开始发布有关 2.16.0 潜在问题的推文,且其中一些人确定了拒绝服务(DoS)漏洞。

美国网络安全和基础设施安全局(CISA)提出了多项紧急建议,要求联邦机构尽快在圣诞节前落实补丁修复。

与此同时,IBM、思科、VMware 等科技巨头,也在争分夺秒地修复自家产品中的 Log4j 漏洞。

第二波惶恐源于安全公司 Blumira 发现的另一种 Log4j 攻击,其能够利用机器或本地网络上的侦听服务器来发起攻击。

在此之前,许多人误以为 Log4j 漏洞仅限于暴露的易受攻击的服务器。而 Conti 之类的勒索软件组织,也在积极探索此类漏洞利用方法。

举报

  • 相关推荐
  • 曝iPhone 17 Pro Logo下移:MagSafe要重新调整

    博主Majin Bu爆料称,iPhone 17 Pro和iPhone 17 Pro Max的苹果Logo下移,手机壳制造商也不得不重新调整MagSafe磁铁的位置。 据制造商透露,随着iPhone 17 Pro苹果Logo位置下移,磁铁阵列也向中心底部偏移,如果不调整就会出现MagSafe磁铁跟苹果Logo重叠的情况,影响美观。 此次调整主要是提升美观度,但是对配件制造商来说,磁铁位置的调整就需要对磁场再度进行校准,以避免细微干扰。

  • 史上变化最大iPhone!曝iPhone17苹果Logo位置改变:继续下移

    在外观设计方面,iPhone17Pro系列将采用横向大矩阵DECO。后置三摄被安排在左侧,闪光灯和LIDAR激光雷达扫描仪则位于矩阵相机右侧,整体外观与小米11Ultra有几分相似。 核心配置上,iPhone17Pro系列也有显著升级。该系列将首次配备12GB内存,并搭载全新的A19Pro芯片。与A18和A18Pro芯片相比,A19系列芯片将采用台积电第三代3nm制程N3P工艺。据相关数据,在相同功耗条件下,N3P工艺能使

  • 谷歌投资TAE Technologies,再次押注核聚变发电

    TAE Technologies 宣布完成新一轮融资,筹集了 1.5 亿美元,谷歌已参与 TAE 两轮融资……

  • iPad、MacBook、Apple Watch京东PLUS享无门槛9折优惠 至高再减500元!

    京东618推出Apple产品多重优惠:iPhone 16系列最高直降2000元,叠加消费券后512GB版低至7599元起;128GB版享国家补贴后仅5499元起,以旧换新可再减1200元。iPad Air/MacBook Air等享PLUS会员9折叠加国家补贴,如11英寸iPad Air到手价3369元。Apple Watch S10到手1787元起,AirPods4会员价1019元起。所有产品现货发售,优惠券每日10点限量抢,搜索"苹果惊喜券"直达活动页面。

  • 利用贝锐花生壳,轻松实现新版DeepSeek-R1本地部署与远程访问

    本文介绍DeepSeek-R1开源模型的本地部署方法。5月末该模型更新至0528版本,在数学计算和逻辑推理方面表现优异,同时降低了幻觉率。部署过程分为三步:1)使用Ollama一键部署模型;2)通过Docker安装Open WebUI实现图形界面交互;3)借助贝锐花生壳内网穿透技术实现安全远程访问。相比传统云部署方式,该方法更便捷安全,支持HTTPS加密传输、访问密码保护和权限控制等功能,有效防止未授权访问。整个过程简单高效,无需复杂操作或依赖云服务器,即可打造专属AI助手。

  • 小米Pad 7S Pro 发布:售价 3299 元起

    今晚,小米 Pad7S Pro 正式发布,凭借其出色的设计与强大配置,成为平板市场的新焦点。 小米 Pad7S Pro 搭载了玄戒 O1芯片,内置创新疾速微控单元,在性能方面有着不俗表现。而在外观设计上,它更是大胆挑战同尺寸最轻薄 LCD 平板,机身厚度仅5.8mm,重量为576g,轻薄便携的特性让用户携带和使用都更加轻松。 在价格方面,小米 Pad7S Pro 提供了多种存储版本供消费者选择。8+256

  • 如何用 DeepSeek 为产品创作slogan

    本文介绍如何利用DeepSeek工具高效创作优质产品slogan。首先在DeepSeek官网注册登录,输入详细指令如"为小米SU7创作5条突出性能/情感/社会价值的slogan";获取初稿后,通过补充指令反复优化调整,直至获得满意的5条高质量slogan。该方法能精准传达产品核心价值,吸引消费者目光,让原本费脑的slogan创作变得轻松高效。

  • 小米YU7官宣6月底发布!雷军:4门搭载4根2200MPa小米超强钢防撞梁 更耐撞

    今日,雷军在微博上正式宣布:大家非常期待的 小米YU7,将于6月底发布。” 临近发布,雷军特别强调了小米YU7在被动安全性方面做出的提升。他表示,小米YU7将2200MPa超强钢应用于车身前后车门防撞梁,共计4根。在车辆遭遇侧碰时,能够为乘员舱提供更为坚实的保护屏障。

  • iPadOS 26台前调度适配更多机型:多任务体验比肩macOS

    最新的iPadOS 26升级了台前调度功能,苹果还把该功能扩展到了更多机型。 在上一版iPadOS 18上,台前调度仅限于以下iPad机型: 13英寸iPad Pro(M4芯片); 12.9英寸iPad Pro(第3代及后续机型); 11英寸iPad Pro(第1代及后续机型); iPad Air(第5代及后续机型)。 在iPadOS 26上,台前调度在以下iPad机型上可用: 13英寸iPad Pro(M4芯片);

  • REDMI 小平板 K Pad 发布:搭载天玑 9400+ 售价 2799 元起

    今晚,小米人车家全生态发布会盛大举行,众多新品逐一揭晓。其中,REDMI 首款旗舰小平板 K Pad 的正式亮相,成为发布会的一大亮点,其2799元起的售价也引发了广泛关注。 REDMI K Pad 在外观设计上独具匠心,采用了8.8英寸黄金小尺寸机身,搭配定制的3K LCD 屏,并运用全金属一体化设计,尽显精致质感。同时,该平板提供三款时尚配色,满足不同用户的审美需求。在屏幕参数方