CVE-2021-44228 – log4j - Báo cáo lỗ hổng
(unit42.paloaltonetworks.com)Đã có báo cáo về một lỗ hổng trong log4j, framework logging của Java.
-
Phiên bản bị ảnh hưởng: 2.0 ~ 2.14.1
-
Phiên bản đã sửa lỗi >= 2.15.0-rc1
-
Khuyến nghị vá lỗi cho mọi hệ thống sử dụng thư viện Apache log4j
-
Một số thành phần tiêu biểu bị ảnh hưởng
-
Apache Struts
-
Apache Solr
-
Apache Druid
-
Apache Flink
-
ElasticSearch
-
Flume
-
Apache Dubbo
-
Logstash
-
Kafka
-
Spring-Boot-starter-log4j2
-
7 bình luận
À,
log4jlà hàm dùng để ghi log à?Chỉ nhìn tên thôi thì tôi cứ tưởng là
math log4Đây là một lỗi có thể dẫn đến Remote Code Execution (RCE) nếu ghi log nội dung chứa một chuỗi ký tự cụ thể.
Trong khi đó, dường như cũng đã xuất hiện người lợi dụng lỗ hổng bảo mật này để biến máy chủ Minecraft thành máy chủ Doom. Rip and Tear!
https://twitter.com/gegy1000/status/1469714451716882434
kkkk, đến cả việc port Doom lên máy chủ Minecraft nữa...
Phạm vi bị ảnh hưởng quá rộng nên truyền thông trong nước còn giật tít kiểu “phát hiện lỗ hổng tệ nhất trong lịch sử máy tính” để câu view kiếm chác nữa...
Trong số các sản phẩm bị ảnh hưởng có rất nhiều sản phẩm chỉ cần nghe tên là biết, nên có vẻ phạm vi bị ảnh hưởng cũng không hề nhỏ.
Cách tái hiện lỗ hổng được nêu trong bài viết bên dưới.
[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit
https://pcmag.com/news/…
Với SpringBoot, bạn nên thực hiện theo liên kết dưới đây.
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
maven
gradle
ext['log4j2.version'] = '2.15.0'