整理:、左耳
出品:CSDN
12月7日游戏平台Minecraft用户在网上曝光Apache Log4j 2存在漏,攻击者可直接构造恶意请求,触发远程代码执行该漏洞。Apache Log4j 作为一款优秀的Java日志框架,被大量的主流开源框架采用,如Apache Struts2、Apache Solr、Apache Druid、Apache Flink等,这样的一个使用广泛的底层框架出现问题,对全球多家企业及个人造成了严重危害。虽然Apache Log4j在当天就发布了2.15.0-rc1版本且在后续的几天里不断更新版本用以修复漏洞。但是Apache Log4j依旧有漏洞存在。
12月14日,Apache软件基金会公布了Log4j 2.15.0版本的一个最新漏洞--CVE-2021-45046。该漏洞指出,Log4j 2.15.0版本允许本地拒绝服务攻击,但影响有限。可是在Log4j 2.15.0版本中,还有一个漏洞并没有被Apache官方发现,而是被一家提供网络安全解决方案的Praetorian公司发现了。
近日 Praetorian 发布了一条消息宣称,经过研究显示,2.15.0版本在某些情况下仍然允许敏感数据渗出。Praetorian已经将该技术细节提交给Apache软件基金会,但是在该漏洞未修复前,他们强烈建议使用者尽快升级到2.16.0版本。下图为Praetorian发现的漏洞部分演示过程。