考虑到 Apache Log4j2 RCE（CVE-2021-44228）漏洞爆发后，大家会更加关注另外两个最新的关于 Log4j 漏洞（CVE-2021-4104/CVE-2021-45046）的影响，知道创宇404实验室紧急做了如下梳理：

1、CVE-2021-4104

（1）是 log4j 1.x 不是 log4j2

（2）该漏洞要求配置文件能被控制，攻击者通过 JMSAppender 进行 JNDI 注入实现 RCE。

（3）总之一句话：条件比较苛刻

（4）官方基本放弃了 log4j 1.x 的维护，担心的可以删除 org.apache.log4j.net.JMSAppender 类

2、CVE-2021-45046

（1）在某些少数调用条件下导致 DOS 攻击

（2）该漏洞对于开启 log4j2.noFormatMsgLookup 为 true 的情况下不能防御

（3）该漏洞影响 Log4j 2.15.0，在最新版本2.16.0修复（默认禁用JNDI功能）

如遇相关攻击，请拨打400 833 1123 联系我们，或点击链接（https://www.wenjuan.com/s/UZBZJv6FUlD/）留下您的联系方式，我们将第一时间为您解决相关问题！

Apache Log4j2 漏洞相关回顾：

▶ 知道创宇404积极防御实验室｜警惕Apache Log4j2最新远程代码执行漏洞

▶ 警惕利用Apache Log4j2最新远程代码执行漏洞后续：针对Struts2等通用组件的攻击

▶ 紧急！警惕僵尸网络及勒索软件利用最新Apache Log4j2进行攻击

如若转载，请注明原文地址