您的当前位置:首页正文

刚刚公布的 Log4J 的史诗级安全漏洞 CVE-2021-44228 你处理了吗?

2024-11-07 来源:个人技术集锦

发生什么事了

Log4J 是一个应用非常广泛的Java库,就在前两天的2021年12月10日,Log4J的一个安全漏洞被公布了。那天正好是周五,很多程序员都在计划着怎么度过一个愉快的周末,不料这个安全漏洞的公开,使得全世界很多程序员不得不周末加班,有的甚至通宵达旦紧急应对。

漏洞编号为 ,攻击者利用这个新的零日漏洞,可以远程执行恶意代码。

是否需要应对

首先看看NIST上的官方描述:

Log4j2 在配置、日志消息和参数中使用了 JNDI 功能。如果 Log4j2 的版本 <=2.14.1 ,JNDI 相关功能无法防御攻击者控制的 LDAP 和其他 JNDI 相关端点。控制了日志消息或日志消息参数的攻击者可以执行从 LDAP 服务器上的任意代码。

所以如果你使用了Log4J输出日志,而且版本 <=2.14.

显示全文