Log4j 2.16.0發(fā)布,受Log4j漏洞影響的Apache項目一覽
作者: 碼農(nóng)小胖哥
今天的早些時候陷入CVE-2021-44228漏洞風波的Log4j發(fā)布了2.16.0版本。
今天的早些時候陷入CVE-2021-44228漏洞風波的Log4j發(fā)布了2.16.0版本。
2.16.0版本強化漏洞防御
在2.16.0版本版本中完全刪除對Message Lookups的支持。目的是采取強化措施以防止 CVE-2021-44228,另外默認禁用 JNDI,需要 log4j2.enableJndi設置為 true 以允許 JNDI。 CVE-2021-44228漏洞已經(jīng)在前些天發(fā)布的2.15.0版本得到了修復。2.16.0版本是強化對漏洞的封堵,強烈建議更新到2.16.0版本。
受漏洞影響的Apache項目
另外Apache 安全團隊在今天公布了受log4j CVE-2021-44228影響的Apache項目。可以根據(jù)下面列表進行排查:
關于 Log4j1.2下的CVE-2021-4104
當攻擊者對Log4j配置具有寫訪問權(quán)限時,Log4j1.2中的 JMSAppender容易受到不可信數(shù)據(jù)的反序列化。攻擊者可以對TopicBindingName和TopicConnectionFactoryBindingName配置,將導致JMSAppender以類似CVE-2021-4422的方式執(zhí)行JNDI請求,從而導致遠程代碼執(zhí)行。
請注意,當專門使用JMSAppender時才會引發(fā)CVE-2021-4104,此問題僅出現(xiàn)在Log4j 1.2,而且這不是默認設置。
本文轉(zhuǎn)載自微信公眾號「碼農(nóng)小胖哥」,可以通過以下二維碼關注。轉(zhuǎn)載本文請聯(lián)系碼農(nóng)小胖哥公眾號。
責任編輯:武曉燕
來源:
碼農(nóng)小胖哥
