<kbd id="afajh"><form id="afajh"></form></kbd>
<strong id="afajh"><dl id="afajh"></dl></strong>
    2. 

    <del id="afajh"><form id="afajh"></form></del>
    

    5. 

        1. <th id="afajh"><progress id="afajh"></progress></th>

          <b id="afajh"><abbr id="afajh"></abbr></b>
          <th id="afajh"><progress id="afajh"></progress></th>
          突發(fā),Log4j2 爆出遠(yuǎn)程代碼執(zhí)行漏洞,各大廠紛紛中招!
          共
                503字,需瀏覽
                    2分鐘
                
           ·
          2021-12-14 08:54
          
                    

                    
                    
                    
                    
          程序員的成長之路
          互聯(lián)網(wǎng)/程序員/技術(shù)/資料共享?
          關(guān)注

          閱讀本文大概需要 2.8 分鐘。
          來自:網(wǎng)絡(luò)
          近日,網(wǎng)絡(luò)上出現(xiàn) Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用該漏洞構(gòu)造特殊的數(shù)據(jù)請求包,最終觸發(fā)遠(yuǎn)程代碼執(zhí)行。由于該漏洞影響范圍極廣,建議廣大用戶及時排查相關(guān)漏洞,經(jīng)過白帽匯安全研究院分析確認(rèn),目前市面有多款流行的系統(tǒng)都受影響。
          log4j作為眾多軟件廣泛引入的類庫,漏洞影響范圍太大了,據(jù)說各大廠程序員半夜被叫起來加班加點修復(fù)。
          漏洞描述
          Apache Log4j2 是一個基于 Java 的日志記錄工具。該工具重寫了 Log4j 框架,并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā),用來記錄日志信息。
          在大多數(shù)情況下,開發(fā)者可能會將用戶輸入導(dǎo)致的錯誤信息寫入日志中。攻擊者利用此特性可通過該漏洞構(gòu)造特殊的數(shù)據(jù)請求包,最終觸發(fā)遠(yuǎn)程代碼執(zhí)行。
          該漏洞危害等級:嚴(yán)重
          影響范圍
          2.0 <= Apache log4j2 <= 2.14.1
          影響判斷方式:用戶只需排查Java應(yīng)用是否引入 log4j-api , log4j-core 兩個jar。若存在應(yīng)用使用,極大可能會受到影響。
          漏洞復(fù)現(xiàn)
          Vulfocus 靶場環(huán)境
          目前 Vulfocus 已經(jīng)集成 Log4j2 環(huán)境,可通過以下鏈接啟動環(huán)境測試:
          http://vulfocus.fofa.so/#/dashboard?image_id=3b8f15eb-7bd9-49b2-a69e-541f89c4216c
          也可通過?docker pull vulfocus/log4j2-rce-2021-12-09:latest?拉取本地環(huán)境運行。
          修復(fù)建議
          1、排查應(yīng)用是否引入了Apache Log4j2 Jar包,若存在依賴引入,則可能存在漏洞影響。請盡快升級Apache Log4j2所有相關(guān)應(yīng)用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
          2、升級已知受影響的應(yīng)用及組件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
          快看看你們中招沒~~
          參考
          [1] https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
          [2] [LOG4J2-3201] Limit the protocols jNDI can use and restrict LDAP. - ASF JIRA (apache.org)
          [3] ASF Git Repos - logging-log4j2.git/blob - log4j-core/src/test/java/org/apache/logging/log4j/core/lookup/JndiRestrictedLookupTest.java
          推薦閱讀:
          JetBrains 推出“下一代 IDE”,快看看有哪些值得期待的功能!
          為什么要使用注冊中心?是eureka還是nacos?
          互聯(lián)網(wǎng)初中高級大廠面試題(9個G)
          內(nèi)容包含Java基礎(chǔ)、JavaWeb、MySQL性能優(yōu)化、JVM、鎖、百萬并發(fā)、消息隊列、高性能緩存、反射、Spring全家桶原理、微服務(wù)、Zookeeper、數(shù)據(jù)結(jié)構(gòu)、限流熔斷降級......等技術(shù)棧!
          ?戳閱讀原文領(lǐng)??!? ? ? ? ? ? ? ??? ??? ? ? ? ? ? ? ? ? ?朕已閱?
          
                
          瀏覽
                    57
          點贊
    
          評論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報
    
          評論
          圖片
          表情
          推薦
        
          點贊
    
          評論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報
    
          

          <kbd id="afajh"><form id="afajh"></form></kbd>
          <strong id="afajh"><dl id="afajh"></dl></strong>
            2. 

            <del id="afajh"><form id="afajh"></form></del>
            

            5. 

                1. <th id="afajh"><progress id="afajh"></progress></th>

                  <b id="afajh"><abbr id="afajh"></abbr></b>
                  <th id="afajh"><progress id="afajh"></progress></th>
                  

午夜一区二区三区
|
国产成人超碰人人澡人人澡
|
一级a一级a爱片免费网站
|
亲子乱一区二区
|
香蕉操逼|