龙空技术网

Apache Log4j 仍有漏洞,2.17.0 版本发布

重命名用户 739

前言:

眼前各位老铁们对“apache错误详细日志文件”大体比较珍视,咱们都想要剖析一些“apache错误详细日志文件”的相关文章。那么小编同时在网上网罗了一些关于“apache错误详细日志文件””的相关资讯,希望看官们能喜欢,各位老铁们一起来学习一下吧!

Apache 软件基金会 (ASF) 于 12 月 17 日发布了 Java 日志输出库“Apache Log4j”的最新版本 Apache Log4j 2.17.0。 2.0-alpha1 和 2.14.16 版本之间存在可能导致拒绝服务 (DoS) 条件的漏洞,并已在最新版本中修复。

根据 ASF称,版本 2.0-alpha1 到 2.14.16 不能防止自引用查找中不受控制的重复发生。 因此,如果日志配置的上下文查找使用非默认模式布局,例如“$${ctx: loginId}”,攻击者可以使用恶意输入数据,包括在线程上下文映射(MDC)中递归查找,这会导致出现 stackover 错误,且系统出现故障。

目前该漏洞仅在使用“log4j-core JAR”文件时会受到影响,并不会影响仅使用“log4j-apiJAR”文件的应用程序,或除 Log4j 之外的 Log4net 和 Log4cxx 等与 Apache 日志相关的项目。通用漏洞评估系统 (CVSS) 基于基本值的评估为“7.5”(最高为 10.0)。

此外,作为避免漏洞影响的一种方式,日志配置的PatternLayout中的诸如“${ctx:loginId}”和“$${ctx:loginId}”之类的上下文查找可以用作MDC模式(% X,% mdc). 或 % MDC),或删除对上下文查找的引用,例如“$ {ctx: loginId}”和“$$ {ctx: loginId}”。

该漏洞是由 Akamai Technologies 的 Hideki Okamoto、Trend Micro Research的 Guy Lederfein 和一位匿名人士发现的。 Trend Micro 的 Zero Day Initiative 解释说,它与2.0-beta9~2.14.1 版本中报告的远程代码执行漏洞(俗称“Log4Shell”)不同,虽然它也是由“Lookup”引起的但是和Log4Shell又是不同的东西。

标签: #apache错误详细日志文件 #apache错误日志包括