跳至主內容

Apache Log4j 阻斷服務漏洞

發佈日期: 2021年12月20日 2330 觀看次數

風險: 中度風險

類型: 網站服務 - 網站服務

類型: 網站服務

於 Apache Log4j 發現一個漏洞。遠端攻擊者可利用此漏洞,於目標系統觸發阻斷服務。

 

注意:

只有 log4j-core JAR 檔案受此漏洞影響。僅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的應用程序不受此漏洞的影響。


影響

  • 阻斷服務

受影響之系統或技術

  • Apache Log4j 由 2.0-alpha1 至 2.16.0 版本

 

注意:
觸發 CVE-2021-45105 漏洞需要在日誌配置中使用非默認的 Pattern Layout。 


解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

 

  • Java 8 (或以上) 使用者應該更新Log4j 至 2.17.0 版本

或者,這可以在配置中緩解:

  • 在日誌記錄配置的 PatternLayout 中,以 Thread Context Map 模式 (%X, %mdc, or %MDC) 代替 Context Lookups,例如${ctx:loginId} 或$${ctx:loginId}
  • 否則,在配置中,刪除源自應用程序外部的輸入來源(例如 HTTP 標頭或用戶輸入)對Context Lookup的引用,例如${ctx:loginId}$${ctx:loginId} 

 

對於Ubuntu

詳情請參閱以下連結:

https://ubuntu.com/security/notices/USN-5203-1


漏洞識別碼


資料來源


相關連結

相關標籤