CVE-2021-44228 – log4j - Báo cáo lỗ hổng

(unit42.paloaltonetworks.com)

12 điểm bởi tkwlsrl 2021-12-11 | 7 bình luận | Chia sẻ qua WhatsApp

Đã có báo cáo về một lỗ hổng trong log4j, framework logging của Java. - Phiên bản bị ảnh hưởng: 2.0 ~ 2.14.1 - Phiên bản đã sửa lỗi >= 2.15.0-rc1 - Khuyến nghị vá lỗi cho mọi hệ thống sử dụng thư viện Apache log4j - Một số thành phần tiêu biểu bị ảnh hưởng * Apache Struts * Apache Solr * Apache Druid * Apache Flink * ElasticSearch * Flume * Apache Dubbo * Logstash * Kafka * Spring-Boot-starter-log4j2

7 bình luận

v08zbv8fvlkjasdflkj 2021-12-13

À, `log4j` là hàm dùng để ghi log à? Chỉ nhìn tên thôi thì tôi cứ tưởng là `math log4`

xguru 2021-12-11

Đây là một lỗi có thể dẫn đến Remote Code Execution (RCE) nếu ghi log nội dung chứa một chuỗi ký tự cụ thể.

kunggom 2021-12-13

Trong khi đó, dường như cũng đã xuất hiện người lợi dụng lỗ hổng bảo mật này để biến máy chủ Minecraft thành máy chủ Doom. Rip and Tear! https://twitter.com/gegy1000/status/1469714451716882434;

budlebee 2021-12-13

kkkk, đến cả việc port Doom lên máy chủ Minecraft nữa...

xguru 2021-12-11

Phạm vi bị ảnh hưởng quá rộng nên truyền thông trong nước còn giật tít kiểu “phát hiện lỗ hổng tệ nhất trong lịch sử máy tính” để câu view kiếm chác nữa...

kunggom 2021-12-11

Trong số các sản phẩm bị ảnh hưởng có rất nhiều sản phẩm chỉ cần nghe tên là biết, nên có vẻ phạm vi bị ảnh hưởng cũng không hề nhỏ. Cách tái hiện lỗ hổng được nêu trong bài viết bên dưới. [PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit https://pcmag.com/news/…;

tkwlsrl 2021-12-11

Với SpringBoot, bạn nên thực hiện theo liên kết dưới đây. https://spring.io/blog/2021/… /> maven <properties> <log4j2.version>2.15.0</log4j2.version> </properties> gradle ext['log4j2.version'] = '2.15.0'

CVE-2021-44228 – log4j - Báo cáo lỗ hổng

Bài viết liên quan

7 bình luận