複選題
36. 【題組 4】關於 CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 此一系列漏洞的修補或緩解措施,下列敘述哪些正確?(複選)
(A) 對於 Log4j V2.10 之後的版本,將系統屬性 log4j2.formatMsgNoLookups 設為 True 可以防止 CVE-2021-45046 之攻擊
(B) 對於 Log4j V2.10 之後的版本,將 JndiLookup.class 移除可以防止 CVE-2021-44228 之攻擊
(C) 對於 CVE-2021-45105,除將 Log4j 的版本升級至2.16版(含) 之上,無其他方式可以緩解對此一漏洞的攻擊
(D) 對於 CVE-2021-45105 而言,其漏洞會造成無限迴圈問題,所以其禁止具漏洞的伺服器對外連線無法緩解此一漏洞之影響

答案:登入後查看
統計: A(399), B(256), C(380), D(189), E(0) #3055657

詳解 (共 1 筆)

#6188339

A) 正確。 對於 Log4j 2.10-2.14.1 版本,將系統屬性 log4j2.formatMsgNoLookups 設為 True 確實可以防止 CVE-2021-44228 的攻擊。但是,這個設置對 CVE-2021-45046 的防護效果有限。CVE-2021-45046 是在修復 CVE-2021-44228 後發現的新漏洞,需要更新到更高版本才能完全修復。

B) 正確。 移除 JndiLookup.class 文件確實可以防止 CVE-2021-44228 的攻擊,因為這個類是實現 JNDI 查找功能的關鍵組件。

C) 不正確。 雖然升級到 Log4j 2.16.0 或更高版本確實可以修復 CVE-2021-45105,但並非唯一的緩解方法。例如,可以通過配置來限制遞歸查找深度,從而緩解這個漏洞的影響。

D) 正確。 CVE-2021-45105 確實可能導致無限遞歸和堆棧溢出問題。禁止伺服器對外連線不能緩解此漏洞的影響,因為這個漏洞主要涉及到日誌配置的內部處理,不依賴於外部網絡連接。

1
0