log4j2의 취약성 정리
1915 단어 Java
정리된 일을 기재하다.
문제.
외부 자원에 대한 접근 정보를 포함하는 요청 정보
log4j2 라이브러리에 로그 출력 처리 후
로그 출력 처리에서 호출된 JNDI를 통해 외부 리소스에 액세스할 수 있습니다.
공격자는log4j2를 이용하여 외부 자원에 접근할 수 있습니다
로그 출력 서버에서 악성 프로그램을 실행합니다.
log4j2
라이브러리에 로그인합니다.
많은 항목에서 이용되다.
JNDI
Java Naming and Directory Interface
LDAP를 통해 외부 리소스(DB, 디렉토리 서비스 등)의 API에 액세스할 수 있음
package com.sun.jndi
LDAP
Lightweight Directory Access Protocol
외부 자원과 통신하는 프로토콜
수정
https://github.com/apache/logging-log4j2/pull/608/commits/755e2c9d57f0517a73d16bfcaed93cc91969bdee
권한이 있는 LDAP의 호스트 및 클래스 정의
입력이 허용되는지 확인하기 위해 수정
사용자로서의 대책
log4j-2.15.0-rc1로 승급
참고 자료
Reference
이 문제에 관하여(log4j2의 취약성 정리), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/su-guru/items/284cc90b825e608cf432텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
좋은 웹페이지 즐겨찾기
