[누동 통고] CVE-2019-17571/Apache Log4j 1.2.X 존재 반서열화 远程大码执行 누동
누동 묘사
Apache Log4j
是美国阿帕奇(Apache) 软件基金会的一款基于 Java적 开源日志记录工具. Apache Log4j 1.2.X
.在 Log4j 1.2.X
中包含一个 SocketServer
类, 该类很易对不可信数据进行反序列化,当侦听日志数据不可信网络流量时、利用具列该类远程执行任意代码.影影包含目前最新版本.CVE 요호
CVE-2019-12409
누동 위조 등
고위험
影影范围
1.2.4 <= Apache Log4j <= 1.2.17 (최신 버전)
简单分析
其实早在
Apache Log4j 2.8.2
时代就存在反序列化远程代码执行漏洞(CVE-2017-5645), 当時触发的 누동대치원리 화
修复建议
org.apache.logging.log4j.core.net.server.TcpSocketServer
계열 최신판 时间轴
[0] 2019/12/20 NVD 숙포 참누동
[1] 2019/12/24 亚信安全网络攻防实验室 연구
Reference
Reference
이 문제에 관하여([누동 통고] CVE-2019-17571/Apache Log4j 1.2.X 존재 반서열화 远程大码执行 누동), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/shimizukawasaki/items/e632f26baec926d2f2c4텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)