<kbd id="afajh"><form id="afajh"></form></kbd>
<strong id="afajh"><dl id="afajh"></dl></strong>
    2. 

    <del id="afajh"><form id="afajh"></form></del>
    

    5. 

        1. <th id="afajh"><progress id="afajh"></progress></th>

          <b id="afajh"><abbr id="afajh"></abbr></b>
          <th id="afajh"><progress id="afajh"></progress></th>
          蛋了,Logback也炸了。。。
          共
                1403字,需瀏覽
                    3分鐘
                
           ·
          2022-01-03 08:39
          
                    

                    
                    
                    
                    
          關(guān)注我們,設(shè)為星標(biāo),每天7:30不見(jiàn)不散,架構(gòu)路上與您共享?
          回復(fù)"架構(gòu)師"獲取資源

          大家好,我是架構(gòu)君,一個(gè)會(huì)寫(xiě)代碼吟詩(shī)的架構(gòu)師。


          Log4j2安全漏洞方面就不多寫(xiě)了,目前Log4j2漏洞安全整改的思路,是把存在漏洞的版本,升級(jí)至官方2.17正式版。

          然后,上周有朋友把Log4j2又替換成Logback。這位朋友算是提供了另外一種對(duì)Log4j2漏洞安全整改的思路。不管最終對(duì)Logback安全性驗(yàn)證測(cè)試結(jié)果如何,能夠提出新的安全整改思路,是值得點(diǎn)贊。

          我們對(duì)Logback做安全性驗(yàn)證方面的相關(guān)測(cè)試。由于有些單位還在使用Logback,為了不造成影響,此處就不能再往深寫(xiě)了,還請(qǐng)諒解。

          但最終測(cè)試結(jié)果是:Logback一樣中招。


          聲明
          今年9月份新的法律法規(guī)已經(jīng)施行,不允許私自隨便發(fā)布漏洞復(fù)現(xiàn)方面的。作者是在自己的內(nèi)網(wǎng)測(cè)試環(huán)境,做的相關(guān)測(cè)試。為了不惹麻煩,不做漏洞復(fù)現(xiàn),只做“安全性驗(yàn)證測(cè)試”。不提供任何漏洞poc、exp、漏洞工具等。

          存在漏洞的主要原因
          由于Logback和Log4j都是一個(gè) “爹” 設(shè)計(jì)、編寫(xiě)的,所以在漏洞挖掘和漏洞利用方面上,是有 “異曲同工之妙” =。=

          有些單位還在使用Logback,為了不造成影響,此處就不能再往深寫(xiě)了,還請(qǐng)諒解。

          相關(guān)的圖片在網(wǎng)上能搜到,如需要請(qǐng)自行搜索。

          安全整改建議
          1、還在使用Log4j 1.x、Log4j 2.x、Logback的單位,建議升級(jí)到Log4j2 2.17官方正式版本。

          2、版本升級(jí)不像打補(bǔ)丁那么簡(jiǎn)單,涉及到很多方方面面,需要有軟件開(kāi)發(fā)單位和網(wǎng)絡(luò)安全服務(wù)單位的通力配合。

          3、雖然版本升級(jí)需要消耗大量的時(shí)間、精力、人力,但建議能升級(jí)還是盡量升級(jí)吧。不要把希望都放到某些網(wǎng)絡(luò)安全產(chǎn)品上,因?yàn)槟承┊a(chǎn)品自身就有漏洞,自己都保不了自己,又如何能保你?

          4、再次強(qiáng)調(diào)一點(diǎn),在版本升級(jí)的時(shí)候,需要同步升級(jí)JDK。

          5、安全整改前,建議搭建測(cè)試環(huán)境,做好相關(guān)的測(cè)試工作,沒(méi)有問(wèn)題在正式環(huán)境做安全整改工作。

          6、我們做安全整改后的復(fù)查工作,發(fā)現(xiàn)某些已經(jīng)“做完安全整改”的系統(tǒng),漏洞居然還可以利用。原因是出在做安全整改的技術(shù)團(tuán)隊(duì),可能不是太懂,只是照著網(wǎng)上搜到某些文章“照葫蘆畫(huà)瓢”做得“安全整改工作”。

          7、如果條件允許,建議聘請(qǐng)具備較強(qiáng)實(shí)戰(zhàn)攻防能力的專(zhuān)業(yè)網(wǎng)絡(luò)安全服務(wù)商,協(xié)助做網(wǎng)絡(luò)安全整改工作。安全整改后做漏洞復(fù)查工作,要以實(shí)戰(zhàn)攻防方式來(lái)驗(yàn)證整改效果。

          8、如果不會(huì)做安全排查、安全整改工作,不清楚是否已經(jīng)被黑客攻擊,可以和我們聯(lián)系。

          到此文章就結(jié)束了。如果今天的文章對(duì)你在進(jìn)階架構(gòu)師的路上有新的啟發(fā)和進(jìn)步,歡迎轉(zhuǎn)發(fā)給更多人。歡迎加入架構(gòu)師社區(qū)技術(shù)交流群,眾多大咖帶你進(jìn)階架構(gòu)師,在后臺(tái)回復(fù)“加群”即可入群。

          這些年小編給你分享過(guò)的干貨

          1.idea永久激活碼(親測(cè)可用)
          2.優(yōu)質(zhì)ERP系統(tǒng)帶進(jìn)銷(xiāo)存財(cái)務(wù)生產(chǎn)功能(附源碼)
          3.優(yōu)質(zhì)SpringBoot帶工作流管理項(xiàng)目(附源碼)
          4.最好用的OA系統(tǒng),拿來(lái)即用(附源碼)
          5.SBoot+Vue外賣(mài)系統(tǒng)前后端都有(附源碼
          6.SBoot+Vue可視化大屏拖拽項(xiàng)目(附源碼)


          轉(zhuǎn)發(fā)在看就是最大的支持??
          
                
          瀏覽
                    45
          點(diǎn)贊
    
          評(píng)論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報(bào)
    
          評(píng)論
          圖片
          表情
          推薦
        
          點(diǎn)贊
    
          評(píng)論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報(bào)
    
          

          <kbd id="afajh"><form id="afajh"></form></kbd>
          <strong id="afajh"><dl id="afajh"></dl></strong>
            2. 

            <del id="afajh"><form id="afajh"></form></del>
            

            5. 

                1. <th id="afajh"><progress id="afajh"></progress></th>

                  <b id="afajh"><abbr id="afajh"></abbr></b>
                  <th id="afajh"><progress id="afajh"></progress></th>
                  

极品美女操逼性
|
日韩一级二级
|
av秋霞|
色老板在线观看
|
国产寡妇淫乱高清视频
|