Apache Log4j 阻斷服務漏洞
發佈日期:
2021年12月20日
2891
觀看次數
風險: 中度風險
類型: 網站服務 - 網站服務
於 Apache Log4j 發現一個漏洞。遠端攻擊者可利用此漏洞,於目標系統觸發阻斷服務。
注意:
只有 log4j-core JAR 檔案受此漏洞影響。僅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的應用程序不受此漏洞的影響。
影響
- 阻斷服務
受影響之系統或技術
- Apache Log4j 由 2.0-alpha1 至 2.16.0 版本
注意:
觸發 CVE-2021-45105 漏洞需要在日誌配置中使用非默認的 Pattern Layout。
解決方案
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
- Java 8 (或以上) 使用者應該更新Log4j 至 2.17.0 版本
或者,這可以在配置中緩解:
- 在日誌記錄配置的
PatternLayout
中,以 Thread Context Map 模式(%X, %mdc, or %MDC)
代替 Context Lookups,例如${ctx:loginId}
或$${ctx:loginId}
- 否則,在配置中,刪除源自應用程序外部的輸入來源(例如 HTTP 標頭或用戶輸入)對Context Lookup的引用,例如
${ctx:loginId}
或$${ctx:loginId}
對於Ubuntu
詳情請參閱以下連結:
https://ubuntu.com/security/notices/USN-5203-1
漏洞識別碼
資料來源
相關連結
分享至