Apache Log4j 阻斷服務漏洞

發佈日期: 2021年12月20日 2672 觀看次數

風險: 中度風險

Medium Risk

類型: 網站服務 - 網站服務

類型: 網站服務

於 Apache Log4j 發現一個漏洞。遠端攻擊者可利用此漏洞,於目標系統觸發阻斷服務。

 

注意:

只有 log4j-core JAR 檔案受此漏洞影響。僅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的應用程序不受此漏洞的影響。

影響

  • 阻斷服務

受影響之系統或技術

  • Apache Log4j 由 2.0-alpha1 至 2.16.0 版本

 

注意:
觸發 CVE-2021-45105 漏洞需要在日誌配置中使用非默認的 Pattern Layout。 

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

 

  • Java 8 (或以上) 使用者應該更新Log4j 至 2.17.0 版本

或者,這可以在配置中緩解:

  • 在日誌記錄配置的 PatternLayout 中,以 Thread Context Map 模式 (%X, %mdc, or %MDC) 代替 Context Lookups,例如${ctx:loginId} 或$${ctx:loginId}
  • 否則,在配置中,刪除源自應用程序外部的輸入來源(例如 HTTP 標頭或用戶輸入)對Context Lookup的引用,例如${ctx:loginId}$${ctx:loginId} 

 

對於Ubuntu

詳情請參閱以下連結:

https://ubuntu.com/security/notices/USN-5203-1

漏洞識別碼

資料來源

相關連結

相關標籤

Apache阻斷服務

分享至

上一頁

IBM WebSphere Application Server 多個漏洞

2021年12月20日 1636 觀看次數

下一頁

甲骨文 Java SE 及 Apache Log4j 產品遠端執行程式碼漏洞

2021年12月10日 6142 觀看次數

我們使用cookie為您提供最佳的網站體驗。繼續瀏覽本網站,即表示您同意使用cookie。有關更多詳細信息,請閱讀我們的Cookie政策。

隱私政策