Log4j一个月内第五次漏洞:2.17.1版本修复了新的远程代码执行错误

最新推荐文章于 2023-09-07 18:29:37 发布
最新推荐文章于 2023-09-07 18:29:37 发布
阅读量2k 收藏
点赞数
文章标签: 安全 web安全 java log4j2
原文链接:https://www.jdon.com/58291
版权

Apache 发布了另一个 Log4j 版本 2.17.1,修复了 2.17.0 中新发现的远程代码执行 (RCE) 漏洞,编号为 CVE-2021-44832。

在今天之前,2.17.0 是 Log4j 的最新版本,被认为是最安全的升级版本,但现在这个建议已经演变。

一个月内五次Log4j CVE

攻击者对原始Log4Shell 漏洞(CVE-2021-44228) 的大规模利用始于 12 月 9 日左右,当时 GitHub 上出现了针对该漏洞的PoC 漏洞利用。

发现三个漏洞后,建议从2.16版迅速转向被认为是最安全的2.17.0 版

现在发现第五个漏洞:一个 RCE 漏洞,被追踪为 CVE-2021-44832 已在 2.17.0 中发现,并在最新版本 2.17.1 中应用了一个补丁。

该漏洞的严重性评级为“中等”,CVSS 评分为 6.6,该漏洞源于缺乏对 log4j 中 JDNI 访问的额外控制:

  • JDBC Appender 在访问 JNDI 时应该使用 JndiManager。JNDI 访问应该通过系统属性来控制。
  • 与 CVE-2021-44832 相关,其中有权修改日志配置文件的攻击者可以使用 JDBC Appender 构建恶意配置,其中数据源引用可以执行远程代码的 JNDI URI。

已经看到 Conti 勒索软件团伙盯上了 易受攻击的 VMWare vCenter 服务器。而攻击者通过 log4shell 破坏越南加密平台 ONUS要求 500 万美元的赎金

Log4j 用户应立即升级到最新 版本 2.17.1  (适用于 Java 8)。包含修复程序的反向移植版本 2.12.4 (Java 7) 和 2.3.2 (Java 6) 预计也将很快发布。

极道Jdon
关注
log4j-api-2.17.1-API文档-中文版.zip
05-05
赠送jar包:log4j-api-2.17.1.jar; 赠送原API文档:log4j-api-2.17.1-javadoc.jar; 赠送源代码log4j-api-2.17.1-sources.jar; 赠送Maven依赖信息文件:log4j-api-2.17.1.pom; 包含翻译后的API文档:log4j-api-2.17.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.logging.log4j:log4j-api:2.17.1; 标签:apache、logging、api、log4j、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
log4j官方漏洞修复史(更2.17.1/CVE-2021-44832)
热门推荐
hldfight
12-23 1万+
0x00 前言 自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 0x01 2.15.0版本 1.1 修复方案 此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下: 1、默认禁用msg lookup功能 2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法中限制了ldap服务
log4j-2.17.1的jar包,导入即可使用
02-07
log4j的jar包,用于代码开发,记录日志等
WEB应用log4j1.x升级到log4j2.17.1
m0_38138879的博客
01-08 5468
WEB应用Log4j1.x升级到log4j2.17.1WEB应用log4j1.x升级到log4j2.17.1环境条件删除旧版本JAR包删除log4j1.x的日志配置文件删除log4j1.x的启动配置或代码log4j2的jar包依赖log4j2的日志配置文件log4j2web启动配置 WEB应用log4j1.x升级到log4j2.17.1 升级背景:引用apache log4j2官网描述,有严重的漏洞;加上本公司维护的WEB应用使用了非常落后的版本为log1.2.16和log4j1.x生命周期已
Apache Log4j 2 (apache-log4j-2.17.1-bin.tar.gz)
01-07
Apache Log4j 2 (apache-log4j-2.17.1-bin.tar.gz)是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复安全漏洞 CVE-2021-44832等安全问题。
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 年底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录中注入恶意代码远程执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
log4j-api-2.17.1.jar和log4j-core-2.17.1.jar
03-11
在2021年底,Log4j2被发现存在一个严重漏洞(CVE-2021-44228),这个远程代码执行(RCE)漏洞允许攻击者通过构造特定的日志输入来执行任意代码。及时升级到2.17.1版本可以避免这个问题,因为此版本包含了针对该漏洞的...
Apache Log4j 2 源代码( apache-log4j-2.17.1-src.zip)
01-07
Apache Log4j 2 源代码( apache-log4j-2.17.1-src.zip) 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复安全漏洞...
elasticsearch-7.13.3 升级log4jlog4j-2.17.1
soso的博客
04-03 1903
2、下载后解压apache-log4j-2.17.1-bin.tar.gz。log4j版本存在严重漏洞,根据需要升级到安全版本,不一定是最。进入elasticsearch-7.13.3目录。log4j-2.17.1 jar包下载地址。5、重启动elasticsearch服务。4、将需要升级的包拷贝到对应目录。升级需要用到截图中四个jar包。删除旧版本log4j
log4j-api-2.17.1.jar
01-20
log4j-api-2.17.1.jar
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)
01-07
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复安全漏洞 CVE-2021-44832等安全问题。
log4j-core-2.17.1-API文档-中英对照版.zip
06-06
赠送jar包:log4j-core-2.17.1.jar; 赠送原API文档:log4j-core-2.17.1-javadoc.jar; 赠送源代码log4j-core-2.17.1-sources.jar; 赠送Maven依赖信息文件:log4j-core-2.17.1.pom; 包含翻译后的API文档:log4j-core-2.17.1-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.apache.logging.log4j:log4j-core:2.17.1; 标签:apache、logging、log4j、core、中英对照文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
log4j-2.17升级版本
07-22
log4j-2.17升级版本包,包括log4j-1.2-api-2.17.1.jar、log4j-api-2.17.1.jar、log4j-core-2.17.1.jar、log4j-slf4j-impl-2.17.1.jar、log4j-web-2.17.1.jar
log4j-API-最稳定版本log4j-1.2.17
08-11
log4j-API-最稳定版本log4j-1.2.17 apache log4j-API-最稳定版本log4j-1.2.17
tomacat升级log4j2.17.1版本log4j2升级后还是读取log4j1怎么办解决方案
mapleqn的博客
09-07 1173
因为log4j版本漏洞,需要升级版本。。由于这个项目年代久远,用的都是tomcat。所以升级版本以后,虽然项目能正常运行,但日志和管理台一直无法正常输出。明明改了配置,还是去读的log4j1.x的版本信息,也就是原来的配置。于是整理了一下需要改的几个点,应该能解决tomcat+log4j2的问题了。
炸了..Log4j2 再爆漏洞,v2.17.1 横空出世。。。
Java技术栈,分享最主流的Java技术
12-30 693
Log4j 2.17.0 再爆雷 Log4j 1.x, Log4j 2.x, Logback 的漏洞刚告一段落,栈长本以为这件事可以在 Log4j v2.17.0 这个版本终结了,没想到。。。 就在昨天,栈长打开公众号,在《团灭!Log4j 1.x 也爆雷了。。。速速弃用!!》一文中,有小伙伴给栈长留言: WC!又来漏洞??? 栈长也去 Log4j2 官方验证了下: Log4j 又发 v2.17.1 了,Log4j v2.17.0 又有远程代码执行漏洞,加上本次的漏洞,这是 Log4j 2.x 近期爆
log4j2 2.17.1又来了,这节奏简直吊打去年的fastjson了!让它再飞一会儿
罗翔
01-06 104
推荐:花了2万多买的Java架构师课程全套,现在分享给大家,从软件安装到底层源码(Java高级互联网架构师VIP教程) 就在2.17.0发布过去一周,2.17.1又来了,官方发版截图如下!最近因为安全问题,log4j2一连发布数个版本,这节奏简直可以吊打去年的fastjson了: 但是,请不要惊慌!不用被信息轰炸!不要急着紧急版本升级!抽根烟,压压惊,没什么大不了! 让我们分...
log4j2 2.17.1又来了,这节奏简直吊打去年的fastjson?让它再飞一会儿
m0_62051288的博客
12-30 3228
就在2.17.0发布过去一周,2.17.1又来了,官方发版截图如下!最近因为安全问题,log4j2一连发布数个版本,这节奏简直可以吊打去年的fastjson了: 但是,请不要惊慌!不用被信息轰炸!不要急着紧急版本升级!抽根烟,压压惊,没什么大不了! 让我们分析一下官方对这个漏洞的总结,原文如下所示,也就是说,需要攻击者能够控制log4j2的配置文件。这个条件就比较苛刻了。一般我们的应用都部署在服务器上,能修改配置文件的,除了运维同学,我想不到还有谁能做这个事情: 再来看一下官方对这个安全漏洞的详细
stm32f4xx_dfp:2.17.1下载
最新发布
07-26
`STM32F4XX_DFP` 是指 STMicroelectronics 提供的一个开发工具包 (Development Package),用于 STM32F4 系列微控制器的软件和硬件开发支持。`stm32f4xx_dfp:2.17.1` 特指这个版本的开发包。以下是关于 `stm32f4xx_dfp:2.17.1` 下载的一些信息: ### 下载步骤: 1. **访问官方网站**:首先,你需要访问 STMicroelectronics 的官方开发者资源页面。通常,这可以通过访问 `www.st.com` 并导航至开发者中心找到。 2. **查找特定产品线**:在开发者中心里,找到 STM32 微控制器部分,并定位到 STM32F4 系列的产品页面。 3. **选择开发工具包**:在对应的 STM32F4 页面上,你可以找到各种开发工具包的列表,其中包括 `stm32f4xx_dfp:2.17.1`。点击进入下载链接。 4. **确认许可证协议**:在下载之前,通常需要接受许可证协议。确保你理解并同意这些条款后,继续下载过程。 5. **下载文件**:按照指引完成下载流程。下载文件可能会比较大,因此确保你有合适的网络连接并且存储空间充足。 6. **解压缩安装**:下载完成后,将 `.zip` 或 `.tar.gz` 文件解压缩到合适的位置,并根据提示安装到本地环境。 ### 使用说明: - **配置IDE**:如果使用的是集成开发环境 (IDE) 如 Keil uVision、IAR Embedded Workbench 或 ARM GCC 工具链等,你需要导入项目模板或相应设置来兼容 `stm32f4xx_dfp:2.17.1` 中包含的所有库和资源。 - **编写代码**:利用提供的文档和示例代码开始编写针对 STM32F4 系列的程序。务必参考具体的硬件和软件规范文档以避免设计错误。 - **编译和调试**:使用IDE进行源码编译,并通过仿真器或目标板进行调试,确保代码正常运行。 ### 相关问题 - 下载及使用注意事项: 1. **如何检查是否正确安装了开发工具包?** - 可以尝试打开你的IDE并创建一个的STM32F4项目,系统应该能够自动识别并加载相关的库和驱动,如果没有自动识别或报错,可能需要检查安装路径是否正确以及是否所有依赖都已安装完整。 2. **如何获取官方文档和技术支持?** - 访问STMicroelectronics的开发者社区网站或官方文档中心,那里提供详尽的技术资料、教程和常见问题解答。 3. **遇到特定硬件兼容性问题怎么办?** - 确保所使用的硬件平台与开发工具包版本相匹配,有时候特定功能的支持需要特定的硬件型号或更的固件版本。如果有疑问,可以查看硬件手册或联系技术支持寻求帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值