Apache Log4j 发现第五个漏洞,全球上亿网站和开源项目已经陷落


继 CVE-2021-44228 和 CVE-2021-45046 之后发现的第五个 Log4Shell 漏洞。
距离 Apache Log4j “核弹级”漏洞的公开已过去将近一周,在此期间被记录的漏洞总共有两个,分别是 CVE-2021-44228 和 CVE-2021-45046。针对漏洞的补丁版本也早已发布: 不过安全公司 Praetorian 的研究人员昨日表示,2.15.0 存在一个更严重的漏洞——信息泄露漏洞,可用于从受影响的服务器下载数据。
与此同时,Praetorian 已将该漏​​洞的所有技术细节发送给 Apache 软件基金会,他们尚未透露更多细节。Praetorian 强烈建议使用者尽快升级到 2.16.0,但尚不清楚此错误是否已在 2.16.0 版本中解决。 Praetorian 研究人员也无法确定数据泄露漏洞的在野利用。他们没有提供有关该漏洞的其他详细信息,这是因为不希望黑客轻易利用漏洞。 研究人员提供了新漏洞的概念验证:https://www.youtube.com/watch?v=bxDEJDqANig

相關推薦

2021-12-29

Apache Log4j 日志库中发现了另一个严重的远程代码执行漏洞,现在被跟踪为 CVE-2021-44832。这是 Log4j 库中的第五个 RCE 和第六个非常严重的漏洞,其次分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。 目前,Apache

2021-12-24

期:2021-12-23 漏洞简述 2021年12月23日,360CERT监测发现Apache官方发布了安全通告 ,修复了多个漏洞,其中包含的漏洞编号有:CVE-2021-44224、CVE-2021-44790,漏洞等级:高危,漏洞评分:8.2。 Apache HTTP Server是Apache软件基金会的一

2021-12-23

们遭受了严重的网络攻击,该攻击基于此前我们报导的 Apache Log4j 相关漏洞。强烈的网络攻击导致比利时国防部的一些活动瘫痪,如邮件系统就已经停机了好几天。 比利时相关发言人奥利维尔·塞维林 (Olivier Séverin) 表示:“

2021-12-16

基于 Java 的日志记录工具 Apache Log4j2 近日出现了一个高危漏洞,攻击者可以利用其 JNDI 注入漏洞远程执行代码,此漏洞牵涉面非常广,以至于国内外的个人或公司用户都对此高度关注,而 Log4j2 开发组在漏洞曝光后及时发布了 A

2021-12-21

来自 Google Open Source Insights Team 的安全研究人员通过调查 Maven Central 中所有软件包的所有版本,以更好地了解最近曝出的 Log4j 漏洞对整个 JVM 语言生态系统的影响,同时还跟踪了正在进行的缓解受影响软件包的工作。 研究人

2021-12-16

​近日,openLooKeng注意到Apache Log4j2反序列化远程代码执行漏洞(CVE ID为CVE-2021-44228),并修复失败。详细方案如下,建议所有用户不要升级。 Apache Log4j2远程代码执行漏洞修复解决方案 【漏洞描述】 Apache Log4j2是一个基于J

2021-12-20

Apache Log4j 的 2.0-alpha1 到 2.16.0 版本存在新的漏洞 CVE-2021-45105 ,此漏洞评分 7.5 ,且在刚发布的 Log4j 2.17.0 (Java 8) 中得到了修复。如果把安全公司 Praetorian 发现的第三个信息泄露漏洞也算进去,这应该是 Log4j 的第四个漏洞了。

2022-01-12

击的峰值。总体而言,与 2020 年相比,研究人员在 2021 年发现每周对企业网络的攻击增加了 50%。 Check Point 的数据基于其内部 ThreatCloud 工具,该工具从全球数亿个传感器中提取数据。 2021 年第 4 季度,每个组织的每周遭

2021-12-20

者论坛指出,当前版本的 XCode 13.2 中似乎也包含了 Log4j 漏洞。对此,Xcode 团队在帖子中则回应道,他们已经意识到这个问题。“我们通常不会为修复错误的时间提供 ETA,但团队已经意识到存在这个安全问题。” 根据介绍

2023-02-25

的 1703 个代码库中,共有 96% 包含开源代码。 一些主要发现包括: 五年间开源使用显着增长:全球大流行促进了教育技术部门对开源的采用,实现 163% 增长。其他经历开源增长大幅飙升的行业包括航空航天、航空、汽车、运

2023-11-16

。 今天的公司拥有更好的流程,但即便如此,还是会有漏洞漏网。谷歌撰写了一篇关于网站可靠性工程 20 年的精彩回顾文章,其中对 2016 年 YouTube 的首次全球故障进行了反思。 对于公司来说,故障的规模是巨大的,每次故障

2022-03-18

Linux 内核和 Rust on Linux 的主要开发者 Miguel Ojeda 向 Linux Kernel 邮件列表提交了一个,继续推进在 Linux 内核中增加对 Rust 作为第二语言支持。 一些 Rust for Linux v5 的更改包括: 工具链和 alloc 已经升级到了 Rust 1.59.0。这个版本

2022-11-03

攻击者开始使用 XML 和 VBA 的组合来执行恶意活动。 Log4j 漏洞仍被广泛利用。在 2021 年 12 月 11 日至 2022 年 6 月 30 日期间,SonicWall 共记录了 5.575 亿次 Log4Shell 攻击尝试,平均每天 280 万次。 从 2022 年 1 月到 2022 年 7 月,加密

2022-10-15

平台涵盖了上报漏洞的全生命周期管理,致力于拓宽漏洞发现渠道,增强面对未知信息安全风险的能力。   开放麒麟漏洞管理平台:是SecurityCommittee SIG组为切实履行自身职能,提高漏洞监控与响应修复能力而自主研发