問題詳情
【題組 4】Apache Log4j 是一套使用非常廣泛的開放源碼的工具,方便程式設計人員在程式中加入 log function,並能以多種方式將 Log 輸出到不同標的,是此類開源工具中,最受系統開發者喜愛的工具之一。只是在 2021 年底 Apache Log4j 軟體,出現了被稱為 10 年來核彈級的一連串重大漏洞,包含 CVE-2021-44228、CVE-2021-45046、CVE-2021-45105,
【題組】33. 請問關於這三個重大的漏洞,下列敘述何者「不」正確?
(A) 上述的漏洞也另稱為 Log4Shell
(B) 這些漏洞的影響範圍主要為 Log4j 2.x 版本
(C) 上述三個漏洞都可以使駭客進行 RCE(Remote Code Execution)攻擊
(D) Log4j 2.17(含)以上的版本可以有效修補上述漏洞
參考答案
答案:C
難度:適中0.467
書單:沒有書單,新增
用户評論
【0xadam】評論
(C) 上述三個漏洞都可以使駭客進行 RCE(Remote Code Execution)攻擊。是不正確的。CVE-2021-44228(也被稱為 Log4Shell)和 CVE-2021-45046 是可以被利用來進行遠程代碼執行(RCE)的漏洞。然而,CVE-2021-45105 並不涉及 RCE,它是一個與 denial of service(DOS)相關的漏洞,該漏洞可能使攻擊者能夠讓系統資源耗盡,導致服務無法使用。