漏洞利用接踵而至:Apache为Log4j发布2.17.0新版补丁修复
来源:cnBeta.COM 发布时间:2021-12-21 18:08:15

在 Log4j 漏洞曝光之后,Apache 软件基金会于上周二发布了修补后的 2.17.0 新版本,并于周五晚些发布了一个新补丁。官方承认 2.16 版本无法在查找评估中妥善防止无限递归,因而易受 CVE-2021-45105 攻击的影响。 据悉,这个拒绝服务(DoS)攻击的威胁级别相当之高,CVSS 评分达到了 7.5 / 10 。

截图(via Bleeping Computer )

当日志配置使用了带有上下文查找的非默认模式布局时(例如 $${ctx:loginId} ),控制线程上下文映射(MDC)数据输入的攻击者,便可制作一份包含递归查找的恶意输入数据,从而导致进程因堆栈溢出报错而被终止。

时隔三天冒出的新问题,是由 Akamai Technologies 的 Hideki Okamoto 和另一位匿名漏洞研究人员所发现的 —— 此类攻击又被称作 DoS(拒绝服务)。

缓解措施包括部署 2.17.0 补丁,并将诸如 ${ctx:loginId} $${ctx:loginId} 之类的上下文查找,替换为日志记录配置中 PatternLayout 线程的上下文映射模式(如 %X %mdc %MDC )。

Apache 还建议在 ${ctx:loginId} $${ctx:loginId} 等配置中,删除对上下文查找的引用 —— 它们源于应用程序的外部,比如 HTTP 标头或用户输入。

(图 via Google Security Blog )

美国网络安全和基础设施安全局(CISA)提出了多项紧急建议,要求联邦机构尽快在圣诞节前落实补丁修复。

与此同时,IBM、思科、VMware 等科技巨头,也在争分夺秒地修复自家产品中的 Log4j 漏洞。

第二波惶恐源于安全公司 Blumira 发现的另一种 Log4j 攻击,其能够利用机器或本地网络上的侦听服务器来发起攻击。

【来源:cnBeta.COM】

上一篇:

下一篇:

猜你喜欢

漏洞利用接踵而至:Apache为Log4j发布2.17.0新版

在Log4j漏洞曝光之后,Apache软件基金会于上周二发布了修补后的2 17 0新版本,并于周五晚些发布了...更多

2021-12-21 18:08:15

美光科技第一财季营收76.9亿美元 同比大增但环比

12月21日消息,据国外媒体报道,存储芯片及存储解决方案供应商美光科技,在当地时间周一发布了2022...更多

2021-12-21 16:37:22

我国研究团队发现多体量子相变的新动力学行为

从北京大学获悉,近日,北京大学电子学系陈徐宗—周小计教授团队与清华大学物理系胡嘉仲—陈文兰教...更多

2021-12-21 16:36:41

英伟达:将在CES 2022发布加速计算领域的最新突破

昨日晚间,英伟达表示,将参加于2022年1月5日-1月8日举办的CES2022,并将在北京时间1月5日凌晨0点举...更多

2021-12-21 16:36:02

双芯2.0再升级:iQOO Neo5S正式发布

两年前,为了满足多元化用户的需求,iQOONeo正式发布,吸引了70万用户;随着iQOONeo3的发布,这一数...更多

2021-12-21 16:35:16

iQOO Neo系列最新产品iQOO Neo5S和iQOO Neo5 SE正式发布

iQOONeo系列最新产品iQOONeo5S、iQOONeo5SE正式发布。iQOONeo5S强悍双芯2 0再进化,高通骁龙888与...更多

2021-12-21 16:34:54

重新定义折叠屏手机标杆之作 OPPO Find N上手体验

OPPO正式发布全新折叠旗舰OPPOFindN。对很多人来说,OPPOFindN最大的意义,在于将折叠屏手机的起售...更多

2021-12-21 16:34:47

消息称部分苹果iPhone 14手机将采用iPhone13同款A15芯片

近期苹果iPhone14系列的爆料开始增多,而对于每年正常数字迭代的A系列芯片在明年可能出现变化。据微...更多

2021-12-21 16:34:37

Mozilla为Firefox 97引入Windows 11样式的滚动条

Windows11正式推出已有两个月,包括照片、画图、记事本等在内的原生应用,均已用上全新的UI设计(尤...更多

2021-12-21 16:34:27

2022年笔记本电脑标配USB-C接口:不分正反面

USB接口是目前最通用的接口,不论手机还是PC都在用,而电脑上之前常见的是USB-A接口,容易插错,但...更多

2021-12-21 15:42:59


© 2012-2020 财经快报网 版权所有

网站联系邮箱:98 28 36 7@qq.com