2022年04月02日
12 月 10 日消息,近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。
Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
漏洞利用无需特殊配置,经安全
2022年04月02日
相信大家最近都被 Apache 的 Log4j2 的漏洞相关的文章刷屏了,不得不说这次的这个漏洞影响范围之广,很多互联网大厂和开源软件都被影响到了,作为一个特别通用的日志框架,日常使用的场景非常多,而且很多开源软件都在使用,所以此次影响到一大批公司,堪称核弹级漏洞!
不过据说 2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞,可能这是为什么阿里内部群很安静,没任何波澜的原因吧,毕竟有安全部门!但是很多其他公司是工程师
2022年04月02日
在 Log4j 漏洞曝出以后,Apache 手机软件慈善基金会于上周二公布了修复后的 2.17.0 新版本,并于周五晚一点公布了一个新补丁包。官方网认可 2.16 版本没法在查找评定中妥当避免无尽递归,因此易受 CVE-2021-45105 攻击的危害。据了解,这一拒绝服务攻击(DoS)攻击的危害等级非常之高,CVSS 得分超过了 7.5 / 10 。
截屏(via Bleeping Computer)
具体说来是,Apache Log4j2 的 2.0-alpha1 到 2.16.0
2022年04月02日
日前, Apache 软件基金会发布其旗舰 Web 服务器的新版本——Apache HTTP Server 2.4.52,该版本号被列入应急版本号,为2个处理完毕的网络安全问题(CVE-2021-44790 和 CVE-2021-44224)给予维护,在其中一个系统漏洞将会造成远程控制执行命令进攻。Apache httpd 精英团队并未见到该系统漏洞的运用,但很有可能仅仅时间问题。英国网络信息安全与基础设施建设安全局 CISA 号召开源系统混合开发 Web 服务器