什麼是Apache Log4j (Log4Shell) 漏洞？

2022年4月8日 — Apache HTTP Server 的漏洞從2017 年起便不斷增加. 過去五年當中，開放原始碼網站伺服器(尤其是Apache HTTP Server) 一直不斷遭到猛烈攻擊。相較於Nginx ...

2022年1月3日 — 首先，我們以上面攻擊語法為例，在Apache 2.4.50 並未妥善修正弱點，故可以使用double encode 的方式，通殺兩個弱點（CVE-2021-41773 和CVE-2021-42013） ...

2024年2月21日 — 研究人員發現Apache HTTP伺服器存在安全漏洞(CVE-2021-42013)，攻擊者可藉由發送特製請求，利用此漏洞進而遠端執行任意程式碼。 目前已知影響平台如下：.

2024年2月21日 — 研究人員發現Apache HTTP伺服器存在安全漏洞(CVE-2021-44224與44790)，攻擊者可藉由發送特製請求，觸發緩衝區溢位漏洞，進而遠端執行任意程式碼。 目前已 ...

2024年1月5日 — CVE-2023-50164 基本上跟Apache Struts 的架構以及檔案上傳功能的使用方式有關，此漏洞能讓駭客在未經授權的情況下瀏覽檔案路徑，而且還能上傳惡意檔案並 ...

(1) 檢查是否使用Apache Struts 2 Web應用框架，可透過檢查網站主機目錄中的「WEB-INF-lib-」資料夾是否存有struts相關jar檔，若存有相關jar檔再進行版本確認。

2021年12月24日 — 趨勢科技指出，許多嵌入式設備可能會採用Apache Log4j軟體，而汽車在採用大量電子控制設備後，也很可能導入含有漏洞的Log4j元件，而被用於Log4Shell攻擊。

Log4Shell (CVE-2021-44228、CVE-2021-45046 和CVE-2021-45105) 是一種遠端程式碼執行(RCE) 漏洞，可讓駭客從遠端執行任意的Java 程式碼，進而掌控被攻擊的伺服器。

2023年11月3日 — CVE-2023-46604允許有權存取ActiveMQ 訊息代理程式的遠端攻擊者在受影響的系統上執行任意命令。概念驗證利用(PoC)程式碼和漏洞的完整詳細資訊已被公開， ...

2011年12月14日 — 如同上文所述，Apache Killer的攻擊原理在於利用HTTP通訊協定中的Range欄位，因此若能將含有惡意HTTP要求封包中的Range欄位置換掉，即可防此類攻擊。可以 ...