CVE-2021-44228 – log4j - รายงานช่องโหว่
(unit42.paloaltonetworks.com)มีการรายงานช่องโหว่ใน log4j ซึ่งเป็นเฟรมเวิร์ก logging ของ Java
-
เวอร์ชันที่ได้รับผลกระทบ: 2.0 ~ 2.14.1
-
เวอร์ชันที่แก้ไขแล้ว >= 2.15.0-rc1
-
แนะนำให้แพตช์ทุกระบบที่ใช้ไลบรารี Apache log4j
-
ตัวอย่างที่ได้รับผลกระทบหลัก ๆ
-
Apache Struts
-
Apache Solr
-
Apache Druid
-
Apache Flink
-
ElasticSearch
-
Flume
-
Apache Dubbo
-
Logstash
-
Kafka
-
Spring-Boot-starter-log4j2
-
7 ความคิดเห็น
อ๋อ log4j เป็นฟังก์ชันสำหรับทำ logging เหรอครับ?
ดูจากชื่ออย่างเดียว ผมนึกว่าเป็น math log4
นี่คือบั๊กที่ทำให้สามารถทำ Remote Code Execution (RCE) ได้ หากมีการบันทึกเนื้อหาที่มีสตริงบางอย่างลงในล็อก
อีกด้านหนึ่ง ดูเหมือนว่าจะมีคนใช้ช่องโหว่ด้านความปลอดภัยนี้เปลี่ยนเซิร์ฟเวอร์ Minecraft ให้กลายเป็นเซิร์ฟเวอร์ Doom ด้วย Rip and Tear!
https://twitter.com/gegy1000/status/1469714451716882434
5555 ถึงขั้นพอร์ต Doom ไปลงบนเซิร์ฟเวอร์ Minecraft เลยเหรอ..
ด้วยขอบเขตผลกระทบที่กว้างใหญ่มาก สื่อในประเทศก็พากันตั้งพาดหัวแบบเรียกคลิกว่า "ค้นพบช่องโหว่ที่เลวร้ายที่สุดในประวัติศาสตร์คอมพิวเตอร์" กันอยู่สินะ...
ในบรรดาผลิตภัณฑ์ที่ได้รับผลกระทบ มีหลายตัวที่แค่ได้ยินชื่อก็รู้จักกันดี ดูเหมือนว่าขอบเขตของผลกระทบก็มหาศาลไม่น้อยเลยครับ
รายละเอียดเกี่ยวกับวิธีทดสอบให้เกิดช่องโหว่นี้ซ้ำ สามารถดูได้จากบทความด้านล่าง
[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit
https://pcmag.com/news/…
สำหรับกรณีของ SpringBoot แนะนำให้ดำเนินการตามลิงก์ด้านล่างนี้
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
maven
gradle
ext['log4j2.version'] = '2.15.0'