12 คะแนน โดย tkwlsrl 2021-12-11 | 7 ความคิดเห็น | แชร์ทาง WhatsApp

มีการรายงานช่องโหว่ใน log4j ซึ่งเป็นเฟรมเวิร์ก logging ของ Java

  • เวอร์ชันที่ได้รับผลกระทบ: 2.0 ~ 2.14.1

  • เวอร์ชันที่แก้ไขแล้ว >= 2.15.0-rc1

  • แนะนำให้แพตช์ทุกระบบที่ใช้ไลบรารี Apache log4j

  • ตัวอย่างที่ได้รับผลกระทบหลัก ๆ

    • Apache Struts

      โฆษณา
    • Apache Solr

    • Apache Druid

    • Apache Flink

    • ElasticSearch

    • Flume

      โฆษณา
    • Apache Dubbo

    • Logstash

    • Kafka

    • Spring-Boot-starter-log4j2

7 ความคิดเห็น

 
v08zbv8fvlkjasdflkj 2021-12-13

อ๋อ log4j เป็นฟังก์ชันสำหรับทำ logging เหรอครับ?

ดูจากชื่ออย่างเดียว ผมนึกว่าเป็น math log4

 
xguru 2021-12-11

นี่คือบั๊กที่ทำให้สามารถทำ Remote Code Execution (RCE) ได้ หากมีการบันทึกเนื้อหาที่มีสตริงบางอย่างลงในล็อก

 
kunggom 2021-12-13

อีกด้านหนึ่ง ดูเหมือนว่าจะมีคนใช้ช่องโหว่ด้านความปลอดภัยนี้เปลี่ยนเซิร์ฟเวอร์ Minecraft ให้กลายเป็นเซิร์ฟเวอร์ Doom ด้วย Rip and Tear!

https://twitter.com/gegy1000/status/1469714451716882434

 
budlebee 2021-12-13

5555 ถึงขั้นพอร์ต Doom ไปลงบนเซิร์ฟเวอร์ Minecraft เลยเหรอ..

 
xguru 2021-12-11

ด้วยขอบเขตผลกระทบที่กว้างใหญ่มาก สื่อในประเทศก็พากันตั้งพาดหัวแบบเรียกคลิกว่า "ค้นพบช่องโหว่ที่เลวร้ายที่สุดในประวัติศาสตร์คอมพิวเตอร์" กันอยู่สินะ...

 
kunggom 2021-12-11

ในบรรดาผลิตภัณฑ์ที่ได้รับผลกระทบ มีหลายตัวที่แค่ได้ยินชื่อก็รู้จักกันดี ดูเหมือนว่าขอบเขตของผลกระทบก็มหาศาลไม่น้อยเลยครับ

รายละเอียดเกี่ยวกับวิธีทดสอบให้เกิดช่องโหว่นี้ซ้ำ สามารถดูได้จากบทความด้านล่าง

[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit

https://pcmag.com/news/…

 
tkwlsrl 2021-12-11

สำหรับกรณีของ SpringBoot แนะนำให้ดำเนินการตามลิงก์ด้านล่างนี้

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

maven

2.15.0

gradle

ext['log4j2.version'] = '2.15.0'