国产乱码在线,人妻精品无码偷拍,亚洲经点性视频,色播视频在线,国产主播在线观看,一级A片免费视频,国产日韩+欧美在线观看,中国A毛片

十幾個小時前，互聯(lián)網(wǎng)上曝出了 Apache Log4j2 中的遠程代碼執(zhí)行漏洞。攻擊者可利用此漏洞構(gòu)造特殊的數(shù)據(jù)請求包，最終觸發(fā)遠程代碼執(zhí)行。據(jù)“白帽”分析確認，幾乎所有技術巨頭如百度等都是該 Log4j 遠程代碼執(zhí)行漏洞的受害者。

（據(jù) Apache 官方最新信息顯示，目前 release 頁面上 Log4j-2.15.0 更新并通過，正式發(fā)布工作正在進行中）

自從 11 月 24 日阿里巴巴云安全團隊正式報告了該 Apache Log4J2 遠程代碼執(zhí)行漏洞以來，其危漏洞危害已在互聯(lián)網(wǎng)上持續(xù)蔓延。由于 Apache Log4j2 的某些函數(shù)具有遞歸分析函數(shù)，因此攻擊者可以直接構(gòu)造惡意請求來觸發(fā)遠程代碼執(zhí)行漏洞。

Apache Log4j2

Apache Log4j2 最初是由 Ceki Gülcü 編寫，是 Apache 軟件基金會 Apache 日志服務項目的一部分。Log4j 是幾種 Java 日志框架之一。而 Apache Log4j2 是對 Log4j 的升級，相比其前身 Log4j1 有了更顯著的改進，同時修復了 Logback 架構(gòu)中的一些固有問題。

通過 Apache Log4j2 框架，開發(fā)者可通過定義每一條日志信息的級別，來控制日志生成過程。

目前該日志框架已被廣泛用于業(yè)務系統(tǒng)開發(fā)，用來記錄日志信息。大多數(shù)情況下，開發(fā)者可能會將用戶輸入導致的錯誤信息寫入日志中。

漏洞描述

Apache Log4j2 遠程代碼執(zhí)行漏洞的詳細信息已被披露，而經(jīng)過分析，本次 Apache Log4j 遠程代碼執(zhí)行漏洞，正是由于組件存在 Java JNDI 注入漏洞：當程序?qū)⒂脩糨斎氲臄?shù)據(jù)記入日志時，攻擊者通過構(gòu)造特殊請求，來觸發(fā) Apache Log4j2 中的遠程代碼執(zhí)行漏洞，從而利用此漏洞在目標服務器上執(zhí)行任意代碼。

受影響版本：

Apache Log4j 2.x <= 2.14.1

已知受影響的應用程序和組件：

srping-boot-strater-log4j2
Apache Solr
Apache Flink
Apache Druid

據(jù)悉，此次 Apache Log4j2 遠程代碼執(zhí)行漏洞風險已被業(yè)內(nèi)評級為“高?！?，且漏洞危害巨大，利用門檻極低。有報道稱，目前 Apache Solr、Apache Struts2、Apache Druid、Apache Flink 等眾多組件及大型應用均已經(jīng)受到了影響，需盡快采取方案阻止。

解決方案

目前，Apache Log4j 已經(jīng)發(fā)布了新版本來修復該漏洞，請受影響的用戶將 Apache Log4j2 的所有相關應用程序升級至最新的 Log4j-2.15.0-rc2 版本，同時升級已知受影響的應用程序和組件，如 srping-boot-strater-log4j2、Apache Solr、Apache Flink、Apache Druid。

臨時修復建議：