<kbd id="afajh"><form id="afajh"></form></kbd>
<strong id="afajh"><dl id="afajh"></dl></strong>
    2. 

    <del id="afajh"><form id="afajh"></form></del>
    

    5. 

        1. <th id="afajh"><progress id="afajh"></progress></th>

          <b id="afajh"><abbr id="afajh"></abbr></b>
          <th id="afajh"><progress id="afajh"></progress></th>
          緊急!Log4j2 再再爆雷:剛升級(jí),又連爆 “核彈級(jí)” 遠(yuǎn)程數(shù)據(jù)泄露 ! v2.17.0 橫空出世。。。
          共
                2632字,需瀏覽
                    6分鐘
                
           ·
          2021-12-27 11:46
          
                    

                    
                    
                    
                    
          最近的 Log4j2 漏洞想必大家都知道了,11月9日晚開(kāi)源項(xiàng)目 Apache Log4j 2 的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞的利用細(xì)節(jié)被公開(kāi),隨著 Apache Log4j 2.15.0 正式版發(fā)布,該漏洞已得到解決。


          然而,安全公司 Praetorian 在博客宣布,他們?cè)?Apache Log4j 2.15.0 版本又發(fā)現(xiàn)了一個(gè)遠(yuǎn)程數(shù)據(jù)泄露的漏洞,可用于從受影響的服務(wù)器下載數(shù)據(jù)。

          幾乎只要是 Java 程序員,幾乎都會(huì)用到 Apache Log4j 這個(gè)組件。就在上周的時(shí)候 Log4j 爆出了一個(gè)史詩(shī)級(jí)別的 Bug。
          由于 Apache Log4j 2 某些功能存在遞歸解析功能,攻擊者可直接構(gòu)造惡意請(qǐng)求,觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。
          于是 Log4j 緊急升級(jí)了一個(gè)版本 2.15.0,讓大家升級(jí)到此版本來(lái)解決這個(gè)問(wèn)題。。
          再爆雷
          當(dāng)天多少個(gè)程序員,加班再改 Bug,但是沒(méi)過(guò)幾天,官網(wǎng)又緊急更新了一個(gè)版本 2.16.0。搜索公眾號(hào)互聯(lián)網(wǎng)架構(gòu)師回復(fù)“2T”,送你一份驚喜禮包。
          因?yàn)椋?a target="_blank"  textvalue="因?yàn)椋?.15.0?雖然解決了最嚴(yán)重的核彈級(jí)漏洞,但?2.15.0?的修復(fù)不完整,還存在允許攻擊者執(zhí)行拒絕服務(wù)攻擊(DoS)漏洞,這個(gè)已經(jīng)在最新的?2.16.0?中進(jìn)行修復(fù)了。" linktype="text" imgurl="" imgdata="null" tab="innerlink" data-linktype="2" wah-hotarea="click" style="outline: 0px;color: rgb(214, 168, 65);-webkit-tap-highlight-color: rgba(0, 0, 0, 0);cursor: pointer;">2.15.0?雖然解決了最嚴(yán)重的核彈級(jí)漏洞,但?2.15.0?的修復(fù)不完整,還存在允許攻擊者執(zhí)行拒絕服務(wù)攻擊(DoS)漏洞,這個(gè)已經(jīng)在最新的?2.16.0?中進(jìn)行修復(fù)了。
          2.15.0?雖然修復(fù)了一個(gè)核彈級(jí)漏洞,官方又新發(fā)現(xiàn)出來(lái)一個(gè) DoS 攻擊漏洞。。。
          然后一堆程序員,又趕緊跟著該代碼升級(jí),都以為這是最后一次更新了,結(jié)果。。。
          Apache Log4j2 是一款優(yōu)秀的 Java 日志框架。該工具重寫(xiě)了 Log4j 框架,并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開(kāi)發(fā),用來(lái)記錄日志信息。大多數(shù)情況下,開(kāi)發(fā)者可能會(huì)將用戶輸入導(dǎo)致的錯(cuò)誤信息寫(xiě)入日志中。


          Praetorian 表示,他們已將該問(wèn)題的技術(shù)細(xì)節(jié)傳遞給 Apache 基金會(huì),但在此期間,Praetorian 強(qiáng)烈建議用戶盡快升級(jí)到 2.16.0。

          Praetorian 將實(shí)行負(fù)責(zé)任的披露,因此目前不會(huì)公開(kāi)分享技術(shù)細(xì)節(jié),以免出現(xiàn)更大的問(wèn)題。



          修正錯(cuò)誤

          LOG4J2-3208:默認(rèn)禁用 JNDI。需要 設(shè)置為 以允許 JNDI。LOG4J2-3211:完全刪除對(duì)消息查找的支持。

          Apache Log4j 2.16.0 至少需要 Java 8 才能構(gòu)建和運(yùn)行。Log4j 2.12.1 是最后一個(gè)支持 Java 7 的版本。Java 7 不是Log4j 團(tuán)隊(duì)的長(zhǎng)期支持版本。

          再再爆雷

          這周末,可能很多程序員忙著升級(jí) Log4j 到2.16版,不過(guò)他們可能又白忙活了。
          因?yàn)锳pache軟體基金會(huì)又釋出了Log4j 2.17.0版來(lái)修補(bǔ)新的阻斷服務(wù)(Denial of Service,DoS)漏洞。搜索公眾號(hào)互聯(lián)網(wǎng)架構(gòu)師回復(fù)“2T”,送你一份驚喜禮包。
          The Log4j team has been made aware of a security vulnerability, CVE-2021-45105, that has been addressed in Log4j 2.17.0 for Java 8 and up.

          Log4j 團(tuán)隊(duì)已獲悉一個(gè)安全漏洞 CVE-2021-45105,該漏洞已在 Java 8 及更高版本的 Log4j 2.17.0 中得到解決。
          上周一釋出的Apache Log4j 2.16.0版是為了修補(bǔ)早先發(fā)現(xiàn)的漏洞。
          該漏洞被列為CVE-2021-45046,允許攻擊者輸入Log4j2 ThreadContext Map(MDC)資料時(shí)、使用非預(yù)設(shè)的Patten Layout改造成惡意查詢輸入。
          2.16.0還釋出不到一周,又被安全研究人員揭露有新漏洞,且是新的DoS漏洞。
          新漏洞編號(hào)CVE-2021-45105,Apache說(shuō)明在具有Thread Context Map查詢的變項(xiàng)中,以StrSubstitutor class${${::-${::-$${::-j}}}}代入,造成無(wú)限遞迴(infinite recursion),引發(fā)應(yīng)用程式當(dāng)?shù)簟?/span>
          于是?Log4j 2.17.0 橫空出世。。。
          可能上周 Log4j 爆出問(wèn)題之后,開(kāi)發(fā)人員也很慌,在很短的時(shí)間內(nèi),先把優(yōu)先級(jí)最高的 Bug 解決發(fā)出來(lái)。
          在這兩天不斷研究中,又發(fā)現(xiàn)了很多問(wèn)題,于是又又緊急的更新了一個(gè)又一個(gè)版本來(lái)解決問(wèn)題。
          最新 Maven 依賴:

          ????org.apache.logging.log4j
          ????log4j-core
          ????2.17.0
          有關(guān) Apache Log4j 2 的完整信息,包括有關(guān)如何提交錯(cuò)誤報(bào)告、補(bǔ)丁或改進(jìn)建議,

          請(qǐng)參閱 Apache Apache Log4j 2 網(wǎng)站:https://logging.apache.org/log4j/2.x
          相關(guān)閱讀:2T架構(gòu)師學(xué)習(xí)資料干貨分享

          全棧架構(gòu)社區(qū)交流群
          ?「全棧架構(gòu)社區(qū)」建立了讀者架構(gòu)師交流群,大家可以添加小編微信進(jìn)行加群。歡迎有想法、樂(lè)于分享的朋友們一起交流學(xué)習(xí)。
          掃描添加好友邀你進(jìn)架構(gòu)師群,加我時(shí)注明姓名+公司+職位】
          看完本文有收獲?請(qǐng)轉(zhuǎn)發(fā)分享給更多人
          往期資源:

          Flutter 移動(dòng)應(yīng)用開(kāi)發(fā)實(shí)戰(zhàn) 視頻(開(kāi)發(fā)你自己的抖音APP)
          Java面試進(jìn)階訓(xùn)練營(yíng) 第2季(分布式篇)
          Java高級(jí) - 分布式系統(tǒng)開(kāi)發(fā)技術(shù)視頻
          
                
          瀏覽
                    71
          點(diǎn)贊
    
          評(píng)論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報(bào)
    
          評(píng)論
          圖片
          表情
          推薦
        
          點(diǎn)贊
    
          評(píng)論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報(bào)
    
          

          <kbd id="afajh"><form id="afajh"></form></kbd>
          <strong id="afajh"><dl id="afajh"></dl></strong>
            2. 

            <del id="afajh"><form id="afajh"></form></del>
            

            5. 

                1. <th id="afajh"><progress id="afajh"></progress></th>

                  <b id="afajh"><abbr id="afajh"></abbr></b>
                  <th id="afajh"><progress id="afajh"></progress></th>
                  

69成人精品视频
|
国产精彩视频
|
日韩一级高清
|
黄色成人免费视频
|
高清一级片在线播放
|