Log4j 又釋出 2.17 版修補 DoS 漏洞

周六,Log4j開發人員又釋出新版2.17.0以解決CVE-2021-45105,這是一個高風險漏洞,能讓攻擊者傳送改造過的呼叫引發阻斷服務(Denial of Service, DoS),使App崩潰當掉。

美國網路安全暨基礎架構安全署(CISA)上周釋出緊急安全指令,要求聯邦政府單位修補及緩解 Log4j 漏洞。不過馬上 Apache Log4j 又公佈新版本來修補新漏洞。

CISA 上周五公佈緊急指令,要求聯邦政府機關儘速找出連網系統是否使用 Log4j,以及是否受 Log4j 漏洞 CVE-2021-44228(或稱 Log4Shell、LogJam),並在 12 月 23 日以前修補、採取緩解措施,或是移除曝險軟體。

Log4Shell 漏洞已經有各種網路罪犯著手開採,包括勒索軟體、殭屍網路程式,採礦軟體,以及國家支持的駭客,來源分別是俄羅斯、中國、伊朗、北韓及土耳其。

在 Log4Shell 之後,安全研究人員又接連揭露 2 個新漏洞,包括 CVE-2021-45046 及 CVE-2021-4104。CVE-2021-45046 上周一開始被認為是中度風險的 DoS 漏洞,但周末又被發現可能導致資料外洩及任意程式碼執行,因此改列遠端程式碼執行 (RCE) 漏洞,並其風險調高成 CVSS 9.0 的重大漏洞。這個漏洞已由 2.16.0 及 2.12.2 修補,移除及關閉被濫用的功能。

周六,Log4j 開發人員又釋出新版 2.17.0 以解決 CVE-2021-45105,這是一個高風險漏洞,能讓攻擊者傳送改造過的呼叫引發阻斷服務 (Denial of Service, DoS),使 App 崩潰當掉。

CVE-2021-45105 是由外部研究人員發現,包括趨勢科技旗下 Zero Day Initiative (ZDI)。

ZDI 指出,雖然 CVE-2021-45105 使用的攻擊途徑和 Log4Shell 類似,但應視為原漏洞的變種。

西門子同時對客戶發佈安全公告,表示正在研究是哪些產品受 CVE-2021-45105 影響。

來源:SecurityWeek

 

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416