日韩鸡巴在线观看,18禁黄网站禁片免费观看,大鸡巴在线视频网,日日干日日撸,岛国乱婬A片免费看,欧美一区二区三区四,一区二区三区黄片,久久夜色精品网站

技術(shù)編輯：MissD丨發(fā)自思否編輯部

公眾號：SegmentFault

十幾個小時前，互聯(lián)網(wǎng)上曝出了 Apache Log4j2 中的遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用此漏洞構(gòu)造特殊的數(shù)據(jù)請求包，最終觸發(fā)遠(yuǎn)程代碼執(zhí)行。據(jù)“白帽”分析確認(rèn)，幾乎所有技術(shù)巨頭如百度等都是該 Log4j 遠(yuǎn)程代碼執(zhí)行漏洞的受害者。

（據(jù) Apache 官方最新信息顯示，目前 release 頁面上 Log4j-2.15.0 更新并通過，正式發(fā)布工作正在進(jìn)行中）

自從 11 月 24 日阿里巴巴云安全團(tuán)隊正式報告了該 Apache Log4J2 遠(yuǎn)程代碼執(zhí)行漏洞以來，其危漏洞危害已在互聯(lián)網(wǎng)上持續(xù)蔓延。由于 Apache Log4j2 的某些函數(shù)具有遞歸分析函數(shù)，因此攻擊者可以直接構(gòu)造惡意請求來觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。

Apache Log4j2

Apache Log4j2 最初是由 Ceki Gülcü 編寫，是 Apache 軟件基金會 Apache 日志服務(wù)項目的一部分。Log4j 是幾種 Java 日志框架之一。而 Apache Log4j2 是對 Log4j 的升級，相比其前身 Log4j1 有了更顯著的改進(jìn)，同時修復(fù)了 Logback 架構(gòu)中的一些固有問題。

通過 Apache Log4j2 框架，開發(fā)者可通過定義每一條日志信息的級別，來控制日志生成過程。

目前該日志框架已被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄日志信息。大多數(shù)情況下，開發(fā)者可能會將用戶輸入導(dǎo)致的錯誤信息寫入日志中。

漏洞描述

Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞的詳細(xì)信息已被披露，而經(jīng)過分析，本次 Apache Log4j 遠(yuǎn)程代碼執(zhí)行漏洞，正是由于組件存在 Java JNDI 注入漏洞：當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)記入日志時，攻擊者通過構(gòu)造特殊請求，來觸發(fā) Apache Log4j2 中的遠(yuǎn)程代碼執(zhí)行漏洞，從而利用此漏洞在目標(biāo)服務(wù)器上執(zhí)行任意代碼。

受影響版本：

Apache Log4j 2.x <= 2.14.1

已知受影響的應(yīng)用程序和組件：

srping-boot-strater-log4j2
Apache Solr
Apache Flink
Apache Druid

據(jù)悉，此次 Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞風(fēng)險已被業(yè)內(nèi)評級為“高危”，且漏洞危害巨大，利用門檻極低。有報道稱，目前 Apache Solr、Apache Struts2、Apache Druid、Apache Flink 等眾多組件及大型應(yīng)用均已經(jīng)受到了影響，需盡快采取方案阻止。

解決方案

目前，Apache Log4j 已經(jīng)發(fā)布了新版本來修復(fù)該漏洞，請受影響的用戶將 Apache Log4j2 的所有相關(guān)應(yīng)用程序升級至最新的 Log4j-2.15.0-rc2 版本，同時升級已知受影響的應(yīng)用程序和組件，如 srping-boot-strater-log4j2、Apache Solr、Apache Flink、Apache Druid。

臨時修復(fù)建議：