IT之家 12 月 20 日消息 , Apache Log4j 最近是屋漏偏逢连夜雨 , 已经连续曝光了三个漏洞 , 版本号也更新到了 2.16.0 。
近日 , Apache Log4j 的 2.0-alpha1 到 2.16.0 版本被发现存在新的漏洞 CVE-2021-45105 , 该漏洞评分 7.5 , 官方已发布 2.17.0 修复了该漏洞 。
IT之家了解到 , 该漏洞是自引用查找的不受控制的递归问题 , 允许控制线程上下文映射数据的攻击者在解释字符串时导致拒绝服务 。 此问题已在 Log4j 2.17.0 和 2.12.3 中修复 。
文章图片
Apache Log4j2 是一款优秀的 Java 日志框架 。 该工具重写了 Log4j 框架 , 并且引入了大量丰富的特性 。 该日志框架被大量用于业务系统开发 , 用来记录日志信息 。 大多数情况下 , 开发者可能会将用户输入导致的错误信息写入日志中 。
【字符串|Apache Log4j 出现第四个漏洞,2.17.0 版本已修复】Apache Log4j 2.17.0 正式版地址:点此进入
推荐阅读
- Microsoft|Microsoft Defender获得新功能以对抗Log4j高位漏洞
- 安全|Apache联合创始人呼吁合作防止Log4Shell问题再次发生
- log|SpringBoot项目的 log4j漏洞解决—JeecgBoot
- AMD|惠普基于AMD EPYC CPU的高性能服务器被黑客利用Log4J漏洞转化成矿机
- 安全|CISA发布Apache Log4j漏洞扫描器 以筛查易受攻击的应用实例
- 警告!|Log4j威胁加剧 美国土安全部宣布拓展HackDHS漏洞赏金计划
- Alibaba|阿里云:早期未意识到Apache log4j2漏洞情况的严重性 将强化漏洞管理
- 社区|阿里云:早期未意识到Apache log4j2漏洞的严重性 将强化漏洞管理
- log|阿里云回应开源社区Apache log4j2漏洞:早期未意识到严重性,未及时共享信息
- 安全|比利时公开承认遭Log4j漏洞攻击 导致国防部部分网络宕机