Apache Log4j 发现第五个漏洞,全球上亿网站和开源项目已经陷落

Apache Log4j 日志库中发现了另一个严重的远程代码执行漏洞，现在被跟踪为 CVE-2021-44832。这是 Log4j 库中的第五个 RCE 和第六个非常严重的漏洞，其次分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。 目前，Apache

期：2021-12-23 漏洞简述 2021年12月23日，360CERT监测发现Apache官方发布了安全通告 ，修复了多个漏洞，其中包含的漏洞编号有：CVE-2021-44224、CVE-2021-44790，漏洞等级：高危，漏洞评分：8.2。 Apache HTTP Server是Apache软件基金会的一

们遭受了严重的网络攻击，该攻击基于此前我们报导的 Apache Log4j 相关漏洞。强烈的网络攻击导致比利时国防部的一些活动瘫痪，如邮件系统就已经停机了好几天。 比利时相关发言人奥利维尔·塞维林 (Olivier Séverin) 表示：“

基于 Java 的日志记录工具 Apache Log4j2 近日出现了一个高危漏洞，攻击者可以利用其 JNDI 注入漏洞远程执行代码，此漏洞牵涉面非常广，以至于国内外的个人或公司用户都对此高度关注，而 Log4j2 开发组在漏洞曝光后及时发布了 A

来自 Google Open Source Insights Team 的安全研究人员通过调查 Maven Central 中所有软件包的所有版本，以更好地了解最近曝出的 Log4j 漏洞对整个 JVM 语言生态系统的影响，同时还跟踪了正在进行的缓解受影响软件包的工作。 研究人

​近日，openLooKeng注意到Apache Log4j2反序列化远程代码执行漏洞（CVE ID为CVE-2021-44228），并修复失败。详细方案如下，建议所有用户不要升级。 Apache Log4j2远程代码执行漏洞修复解决方案 【漏洞描述】 Apache Log4j2是一个基于J

击的峰值。总体而言，与 2020 年相比，研究人员在 2021 年发现每周对企业网络的攻击增加了 50%。 Check Point 的数据基于其内部 ThreatCloud 工具，该工具从全球数亿个传感器中提取数据。 2021 年第 4 季度，每个组织的每周遭

Apache Log4j 的 2.0-alpha1 到 2.16.0 版本存在新的漏洞 CVE-2021-45105 ，此漏洞评分 7.5 ，且在刚发布的 Log4j 2.17.0 (Java 8) 中得到了修复。如果把安全公司 Praetorian 发现的第三个信息泄露漏洞也算进去，这应该是 Log4j 的第四个漏洞了。

者论坛指出，当前版本的 XCode 13.2 中似乎也包含了 Log4j 漏洞。对此，Xcode 团队在帖子中则回应道，他们已经意识到这个问题。“我们通常不会为修复错误的时间提供 ETA，但团队已经意识到存在这个安全问题。” 根据介绍

的 1703 个代码库中，共有 96% 包含开源代码。 一些主要发现包括： 五年间开源使用显着增长：全球大流行促进了教育技术部门对开源的采用，实现 163% 增长。其他经历开源增长大幅飙升的行业包括航空航天、航空、汽车、运

。 今天的公司拥有更好的流程，但即便如此，还是会有漏洞漏网。谷歌撰写了一篇关于网站可靠性工程 20 年的精彩回顾文章，其中对 2016 年 YouTube 的首次全球故障进行了反思。 对于公司来说，故障的规模是巨大的，每次故障

Linux 内核和 Rust on Linux 的主要开发者 Miguel Ojeda 向 Linux Kernel 邮件列表提交了一个，继续推进在 Linux 内核中增加对 Rust 作为第二语言支持。 一些 Rust for Linux v5 的更改包括： 工具链和 alloc 已经升级到了 Rust 1.59.0。这个版本

攻击者开始使用 XML 和 VBA 的组合来执行恶意活动。 Log4j 漏洞仍被广泛利用。在 2021 年 12 月 11 日至 2022 年 6 月 30 日期间，SonicWall 共记录了 5.575 亿次 Log4Shell 攻击尝试，平均每天 280 万次。 从 2022 年 1 月到 2022 年 7 月，加密

平台涵盖了上报漏洞的全生命周期管理，致力于拓宽漏洞发现渠道，增强面对未知信息安全风险的能力。   开放麒麟漏洞管理平台：是SecurityCommittee SIG组为切实履行自身职能，提高漏洞监控与响应修复能力而自主研发