Cách sửa lỗi CVE-2021-44228 liên quan đến log4j

Joe

17:38, 17/04/2023

Có bản vá nào để khắc phục lỗ hổng này trong lõi không? Làm thế nào chúng ta có thể khắc phục điều này?

Mô tả lỗ hổng:

Apache Log4j2 <=2.14.1 Các tính năng JNDI được sử dụng trong cấu hình, thông báo nhật ký và tham số không bảo vệ chống lại LDAP do kẻ tấn công kiểm soát và các điểm cuối khác có liên quan đến JNDI. Kẻ tấn công có thể kiểm soát thông báo tường trình hoặc tham số thông báo tường trình có thể thực thi mã tùy ý được tải từ máy chủ LDAP khi tính năng thay thế tra cứu thông báo được bật. Từ log4j 2.15.0, hành vi này đã bị tắt theo mặc định. Trong các bản phát hành trước (>2.10), hành vi này có thể được giảm thiểu bằng cách đặt thuộc tính hệ thống âlog4j2.formatMsgNoLookupsâ thành âtrueâ hoặc có thể giảm thiểu hành vi này trong các bản phát hành trước (<2.10) bằng cách xóa lớp JndiLookup khỏi đường dẫn lớp (ví dụ: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class).

0 + 0

báo cáo lỗi

20.04

cocomac

17:39, 17/04/2023

Bạn có ý nghĩa gì "trong cốt lõi"? [Bản thân Ubuntu không dễ bị log4j](https://askubuntu.com/questions/1380998/is-ubuntu-itself-vulnerable-to-log4shell/)

Hồi đáp

Joe

17:41, 17/04/2023

Ý tôi là bằng cách cập nhật kho lưu trữ hoặc nếu chúng tôi phải tải xuống các nguồn để sửa lỗi này..

Hồi đáp

ChanganAuto

17:42, 17/04/2023

Tôi nghĩ bạn cần đọc câu trả lời được đăng ở trên ...

Hồi đáp

user535733

18:01, 17/04/2023

Điều này có trả lời câu hỏi của bạn không? [Bản thân Ubuntu có dễ bị tấn công bởi Log4shell không?](https://askubuntu.com/questions/1380998/is-ubuntu-itself-vulnerable-to-log4shell) Hay bạn đang hỏi cách tự mình áp dụng các bản vá lỗi? Hay bạn đang hỏi một cái gì đó khác nhau? Việc khám phá xem một bản vá *có tồn tại* hay không là chuyện nhỏ -- vì bạn có số CVE nên Google sẽ sẵn lòng cho bạn biết. Vì vậy, câu hỏi của bạn có vẻ không rõ ràng với tôi.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How to fix CVE-2021-44228 bug related with log4j

TH: วิธีแก้ไขข้อผิดพลาด CVE-2021-44228 ที่เกี่ยวข้องกับ log4j

RO: Cum se remediază eroarea CVE-2021-44228 legată de log4j

RU: Как исправить ошибку CVE-2021-44228, связанную с log4j

VI: Cách sửa lỗi CVE-2021-44228 liên quan đến log4j

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.