早前陷入CVE-2021-44228漏洞的Log4j,今日发布2.16.0版本。版本2.16.0增强的漏洞防御在版本2.16.0中,完全删除了对消息查找的支持。目的是采取加固措施防止CVE-2021-44228,并且JNDI默认是禁用的,需要设置log4j2.enableJndi为true来允许JNDI。CVE-2021-44228漏洞已在日前发布的2.15.0版本中修复。2.16.0版本是为了加强对漏洞的拦截,强烈建议更新到2.16.0版本。受漏洞影响的Apache项目此外,Apache安全团队今天公布了受log4jCVE-2021-44228影响的Apache项目。可以使用以下列表进行故障排除:关于Log4j1.2下的CVE-2021-4104当攻击者对Log4j配置具有写入权限时,Log4j1.2中的JMSAppender容易受到不受信任数据的反序列化。攻击者可以配置TopicBindingName和TopicConnectionFactoryBindingName,这将导致JMSAppender以类似于CVE-2021-4422的方式执行JNDI请求,从而导致远程代码执行。请注意,CVE-2021-4104仅在独占使用JMSAppender时才会引发,此问题仅发生在Log4j1.2中,这不是默认设置。本文转载自微信公众号“码农小胖哥”,可通过以下二维码关注。转载本文请联系码农小胖公众号。
