#威胁通报
17 个内容
#漏洞预警
13 个内容
#Log4j2
5 个内容
01 漏洞概况
近日,微步情报局获取到 Log4j2.16 拒绝服务攻击漏洞 0day 相关漏洞情报,攻击者可以利用该漏洞攻击服务器。
漏洞复现:
受影响版本:
|
Log4j2 |
是否受影响 |
|
≤ 2.16.0 |
是 |
漏洞分析:
该漏洞是由于StrSubstitutor.java中的substitute函数递归解析数据造成的,当攻击者构造恶意的payload传入时,该解析函数会抛出异常,从而导致拒绝服务攻击。
此外网络上有一些关于CVE-2021-45046 RCE的描述信息,首先该漏洞是针对Log4j2.15.0的Bypass,在某些情况下可以造成RCE:经微步工程师分析发现只有在*unix的环境下才能造成RCE。在之前的文章中,已经分析了Log4j2.15.0版本对IP和协议做了限制,但是可以通过 java.net.uri 和系统底层函数对URL处理的不一致绕过IP限制。
复现截图如下:
该问题在 2.17 版本中已得到修复。
02 漏洞评估
交互要求:0 click
Log4j ≤ 2.16.0
03 检测及修复方案
https://github.com/apache/logging-log4j2/releases/tag/rel%2F2.17.0
04 时间线
第一时间为您推送最新威胁情报
阅读原文,可加入粉丝群~
本文由 华域联盟 原创撰写:华域联盟 » 警惕!Log4j 2.16 已失守!漏洞详情曝光
转载请保留出处和原文链接:https://www.cnhackhy.com/155711.htm
