大屌在线观看,亚洲午夜精品久久久,日韩免费福利视频,中日韩成人片,成人在线视频网站,搞搞中文字幕,可以在线看黄片,无码一区二区三区在线

文?| 白開(kāi)水不加糖

出品 | OSC開(kāi)源社區(qū)（ID：oschina2013）

Apache Log4j 2.17.0 版本已正式發(fā)布，解決了被發(fā)現(xiàn)的第三個(gè)安全漏洞 CVE-2021-45105。

Apache Log4j2 版本 2.0-alpha1 到 2.16.0 沒(méi)有防止 self-referential 查找的不受控制的遞歸。當(dāng)日志配置使用非默認(rèn)的 Pattern Layout 與 Context Lookup（例如，$${ctx:loginId}）時(shí)，控制線程上下文映射 (MDC) 輸入數(shù)據(jù)的攻擊者可以制作包含遞歸查找的惡意輸入數(shù)據(jù)，導(dǎo)致 StackOverflowError，從而終止進(jìn)程。這也稱(chēng)為 DoS 攻擊。

從 2.17.0 版本開(kāi)始（針對(duì) Java 8），只有配置中的查找字符串才會(huì)被遞歸擴(kuò)展；在任何其他用法中，僅解析頂層查找，不解析任何嵌套查找。

在以前的版本中，可以通過(guò)確保你的日志記錄配置執(zhí)行以下操作來(lái)緩解此問(wèn)題：

在日志記錄配置的 PatternLayout 中，用 Thread Context Map 模式（%X、%mdc 或 %MDC）替換 ${ctx:loginId} 或 $${ctx:loginId} 等 Context Lookups。
否則，在配置中刪除對(duì) ${ctx:loginId} 或 ${ctx:loginId} 等 Context Lookups 的引用；它們?cè)醋詰?yīng)用程序外部的源，如 HTTP headers 或 user input.。

2.17.0 版本的具體更新內(nèi)容包括有：

修復(fù)字符串替換遞歸。修復(fù)?LOG4J2-3230
將 JNDI 僅限于 java 協(xié)議。默認(rèn)情況下，JNDI 將保持禁用狀態(tài)。將 JNDI 啟用屬性從“l(fā)og4j2.enableJndi”重命名為“l(fā)og4j2.enableJndiLookup”、“l(fā)og4j2.enableJndiJms”和“l(fā)og4j2.enableJndiContextSelector”。修復(fù)?LOG4J2-3242
JNDI 僅限于 java 協(xié)議。默認(rèn)情況下，JNDI 將保持禁用狀態(tài)。啟用屬性已重命名為“l(fā)og4j2.enableJndiJava”。修復(fù)?LOG4J2-3242
不要將 log4j-api-java9 和 log4j-core-java9 聲明為依賴(lài)項(xiàng)，因?yàn)檫@會(huì)導(dǎo)致 Maven enforcer 插件出現(xiàn)問(wèn)題。修復(fù)?LOG4J2-3241
解析屬性文件過(guò)濾器時(shí)的 PropertiesConfiguration.parseAppenderFilters NPE。修復(fù)?LOG4J2-3247
Syslog Appender 的 Log4j 1.2 bridge 默認(rèn)為端口 512 而不是 514。修復(fù)?LOG4J2-3249
Log4j 1.2 bridge API 將 Syslog 協(xié)議硬編碼為 TCP。修復(fù)?LOG4J2-3237