instanceof@tg => YSITD: Log4j2 被发现存在（另）一个拒绝服务 (DoS) 漏洞以及（另）一个远程代码执行 (RCE) 漏洞*，在 2.12.3 / 2.17.0 被修复。 CVE: CVE-2021-45105 CVSS: 7.5（高）影响版本： [2.0-beta9, 2.16.0]，除 2.12.3 外 CVE: CVE-2021-4104 CVSS: 8.1（高）** 影响版本：[2.0, *)，但有 mitigation [1] https://nvd.nist.gov/vuln/detail/CVE-2021-45105 https://nvd.nist.gov/vuln/detail/CVE-2021-4104 https://logging.apache.org/log4j/2.x/security.html linksrc: https://thehackernews.com/2021/12/new-local-attack-vector-expands-attack.html * 需要启用默认设置不启用的 JMSAppender 才能利用。 ** RedHat 称此漏洞并不容易利用，给出 CVSS 6.6 [1]。 1. https://access.redhat.com/security/cve/CVE-2021-4104 #Log4j #CVE #PSA #61befa3f623d571e1348ba53

instanceof@tg says to YSITD

Log4j2 被发现存在（另）一个拒绝服务 (DoS) 漏洞以及（另）一个远程代码执行 (RCE) 漏洞*，在 2.12.3 / 2.17.0 被修复。 CVE: CVE-2021-45105 CVSS: 7.5（高）影响版本： [2.0-beta9, 2.16.0]，除 2.12.3 外 CVE: CVE-2021-4104 CVSS: 8.1（高）** 影响版本：[2.0, *)，但有 mitigation [1] https://nvd.nist.gov/vuln/detail/CVE-2021-45105 https://nvd.nist.gov/vuln/detail/CVE-2021-4104 https://logging.apache.org/log4j/2.x/security.html linksrc: https://thehackernews.com/2021/12/new-local-attack-vector-expands-attack.html * 需要启用默认设置不启用的 JMSAppender 才能利用。 ** RedHat 称此漏洞并不容易利用，给出 CVSS 6.6 [1]。 1. https://access.redhat.com/security/cve/CVE-2021-4104 #Log4j #CVE #PSA

at Sun, Dec 19, 2021 5:24 PM