Log4j 2.16.0发布,受Log4j漏洞影响的Apache项目一览

安全 漏洞
今天的早些时候陷入CVE-2021-44228漏洞风波的Log4j发布了2.16.0版本。

[[440415]]

今天的早些时候陷入CVE-2021-44228漏洞风波的Log4j发布了2.16.0版本。

[[440416]]

2.16.0版本强化漏洞防御

在2.16.0版本版本中完全删除对Message Lookups的支持。目的是采取强化措施以防止 CVE-2021-44228,另外默认禁用 JNDI,需要 log4j2.enableJndi设置为 true 以允许 JNDI。 CVE-2021-44228漏洞已经在前些天发布的2.15.0版本得到了修复。2.16.0版本是强化对漏洞的封堵,强烈建议更新到2.16.0版本。

受漏洞影响的Apache项目

另外Apache 安全团队在今天公布了受log4j CVE-2021-44228影响的Apache项目。可以根据下面列表进行排查:

关于 Log4j1.2下的CVE-2021-4104

当攻击者对Log4j配置具有写访问权限时,Log4j1.2中的 JMSAppender容易受到不可信数据的反序列化。攻击者可以对TopicBindingName和TopicConnectionFactoryBindingName配置,将导致JMSAppender以类似CVE-2021-4422的方式执行JNDI请求,从而导致远程代码执行。

请注意,当专门使用JMSAppender时才会引发CVE-2021-4104,此问题仅出现在Log4j 1.2,而且这不是默认设置。

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。

 

责任编辑:武晓燕 来源: 码农小胖哥
相关推荐

2022-03-25 13:42:15

Log4j漏洞网络安全

2022-01-02 07:07:55

CISAApache Log4漏洞

2021-12-23 11:03:25

Log4j 漏洞漏洞

2021-12-22 13:52:40

Log4j漏洞谷歌

2021-12-24 09:56:33

Log4j漏洞英伟达

2021-12-23 09:47:36

Log4jRCE漏洞DoS漏洞

2021-12-29 14:47:43

Apache团队Log4j漏洞

2022-03-30 11:29:53

漏洞补丁Spring

2021-12-21 10:03:24

Log4j漏洞网络攻击漏洞

2022-02-15 17:51:38

Log4j漏洞网络安全

2022-02-13 16:18:57

JetBrainsIntelliJLog4j

2021-12-21 14:25:01

Log4j2漏洞网络

2022-01-24 10:02:53

漏洞微软网络攻击

2023-11-10 10:08:23

2021-12-24 09:52:31

Traefik Log4J 漏洞

2021-12-13 01:49:34

漏洞Log4j代码

2021-12-19 09:29:18

Log4j漏洞SIEM

2021-12-27 12:08:30

漏洞网络安全GitHub

2022-01-06 09:52:39

Log4j漏洞攻击

2021-12-11 19:04:38

漏洞
点赞
收藏

51CTO技术栈公众号