还有下一个吗？Log4j再爆第二个漏洞CVE-2021-45046 -





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

容灾演练双月报｜美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

2025-01-10

国家级｜美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

2024-12-20

全球数据跨境流动合作倡议

2024-11-22

相关文章

国产数据库运维之权限收与放分析

2025-06-13

金融机构外部数据全流程管理之引入阶段

2025-06-12

关注！数据安全新动态（2025年5月·下篇）

2025-06-11

基于数据全生命周期的安全防护体系探究

2025-06-10

2025 年数据备份和恢复的重要性：现代数据安全的沉默哨兵

2025-06-09

还有下一个吗？Log4j再爆第二个漏洞CVE-2021-45046

发布时间：2021-12-15 阅读次数： 290 次

据ZDnet最新报道，在全球网络安全专家试图修补或缓解史上最严重漏洞CVE-2021-44228之际，12月14日发现了第二个涉及Apache Log4j的漏洞，此前专家们讨论补丁版本可被绕过的说法坐实。MITRE对新漏洞CVE 2021-45046的描述称，Apache Log4j 2.15.0中针对CVE-2021-44228的修复“在某些非默认配置中不完整”。这可能允许攻击者……使用JNDI查找模式制作恶意输入数据，从而导致拒绝服务 (DOS) 攻击。

Apache已经针对这个问题发布了一个补丁Log4j 2.16.0。CVE表示，Log4j 2.16.0 通过删除对消息查找模式的支持并默认禁用JNDI功能来解决该问题。它指出，通过从类路径中删除JndiLookup类，可以在以前的版本中缓解该问题。

Netenrich公司的首席威胁猎人John Bambenek 告诉ZDNet，解决方案是完全禁用JNDI 功能（这是最新版本的默认设置）。

“至少有十几个团体正在使用这些漏洞，因此应该立即采取行动来修补、删除 JNDI，或者将其从类路径中删除（最好是上述所有内容），”Bambenek 说。

这张由瑞士国家CERT创建的图表是对Log4Shell漏洞利用的可视化，非常有用。

Log4j是一个用于记录应用程序错误消息的Java库，它的原始缺陷自上周以来一直是头条新闻。据 Cloudflare称，攻击始于12 月1日，新西兰CERT发出的最早警报引发了CISA和英国国家网络安全中心等机构的警报。

荷兰国家网络安全中心发布了一份很长的受该漏洞影响的软件列表。

（https://github.com/NCSC-NL/log4shell/tree/main/software）（）

美国系统安全学会SANS也给出了最新的修复建议。

网络安全公司ESET发布了一张地图，显示了进行Log4j 漏洞利用尝试的地点，其中美国、英国、土耳其、德国和荷兰的数量最多。

ESET首席研究官罗曼·科瓦奇 (Roman Kováč) 说：“我们的监测证实，这是一个不会很快消失的大规模问题。”

许多公司已经在经历利用该漏洞的攻击；工业网络安全公司Armis 告诉ZDNet，它在超过三分之一（35%）的客户端中检测到log4shell攻击尝试。攻击者的目标是物理服务器、虚拟服务器、IP 摄像头、制造设备和考勤系统。

最早给出logj4漏洞分析并命名为log4Shell的Lunasec公司在最新的博文中给出了四个缓解建议。

本文来自网空闲话，如有侵权联系删除

上一条：工信部组织开展工业领域数据安全管理试点工作
下一条：商业银行个人金融信息保护机制的思考和建议

返回

免费试用

服务热线

马上咨询

400-811-3777

