机构名称:
¥ 1.0
Apache CVE-2021-44228 CVSS 3.0:10(严重)漏洞描述 Apache Log4j2 2.0-beta9 至 2.15.0(不包括安全版本 2.12.2、2.12.3 和 2.3.1)配置、日志消息和参数中使用的 JNDI 功能无法防范恶意行为者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时,可以控制日志消息或日志消息参数的恶意行为者可以执行从 LDAP 服务器加载的任意代码。从 log4j 2.15.0 开始,此行为已默认禁用。从版本 2.16.0(以及 2.12.2、2.12.3 和 2.3.1)开始,此功能已被完全删除。请注意,此漏洞特定于 log4j-core,不会影响 log4net、log4cxx 或其他 Apache Logging Services 项目。建议的缓解措施
网络安全咨询
主要关键词
相关文件推荐
