由于新的 Log4j 漏洞,Apache HTTP Server 能否允许反向脱壳?
Can Apache HTTP Server allow reverse shelling thanks to the new Log4j vulnerability?
我在 Centos 8 机器上安装了一个 Apache HTTP 服务器,我想知道它是否使用 Log4j 库,因为发现的新漏洞正在危害网络上的许多服务器。如果是这样,解决的程序是什么?根据我的分析,我可以从存储库 (svn.apache.org/repos/asf/httpd/httpd/) 中看到使用的语言是 C,XML 所以我想它不会使用 Log4j 来跟踪日志,但是项目那些与活动模块有关的项目。
谢谢。
不,Apache httpd
和 Apache log4j
除了都由 Apache 基金会发布之外没有任何共同点。
Apache log4j
被Java. 中编写的软件使用
Apache httpd
是 NOT 写在 Java.
Apache httpd
不 使用 Apache log4j。
Apache httpd
不 受 CVE-2021-44228 约束。
请注意,Apache httpd
实例 可以 在使用 Java 和 log4j 的 http 服务器前用作反向代理,但这就像在说路由器很容易受到攻击,因为它后面有一台服务器。
您也可以在使用 log4j 的盒子上安装其他软件 运行,但不会直接 Apache httpd
。
周围有很多混乱,因为许多人称 Apache httpd
只是 Apache
(出于历史原因),但 Apache
是发布 Apache httpd
和 Apache log4j
(以及许多其他项目)。
我在 Centos 8 机器上安装了一个 Apache HTTP 服务器,我想知道它是否使用 Log4j 库,因为发现的新漏洞正在危害网络上的许多服务器。如果是这样,解决的程序是什么?根据我的分析,我可以从存储库 (svn.apache.org/repos/asf/httpd/httpd/) 中看到使用的语言是 C,XML 所以我想它不会使用 Log4j 来跟踪日志,但是项目那些与活动模块有关的项目。 谢谢。
不,Apache httpd
和 Apache log4j
除了都由 Apache 基金会发布之外没有任何共同点。
Apache log4j
被Java. 中编写的软件使用
Apache httpd
是 NOT 写在 Java.Apache httpd
不 使用 Apache log4j。Apache httpd
不 受 CVE-2021-44228 约束。
请注意,Apache httpd
实例 可以 在使用 Java 和 log4j 的 http 服务器前用作反向代理,但这就像在说路由器很容易受到攻击,因为它后面有一台服务器。
您也可以在使用 log4j 的盒子上安装其他软件 运行,但不会直接 Apache httpd
。
周围有很多混乱,因为许多人称 Apache httpd
只是 Apache
(出于历史原因),但 Apache
是发布 Apache httpd
和 Apache log4j
(以及许多其他项目)。