最新公告
  • 欢迎您光临欧资源网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 漏洞评级ApacheLog4j远程代码执行漏洞,严重!(组图)

    嗨,我的名字是乔戈里。今天一大早,看到群里有个小伙伴在讲Log4j2的远程代码执行漏洞。在这里提醒一下,以防有小伙伴没看到。

    这次 Apache 又要承担责任了。这个漏洞的范围太广了(大部分公司都会受到影响),又是一个可以载入史册的漏洞。

    漏洞描述

    Apache Log4j2 是一个优秀的 Java 日志框架。2021年11月24日,阿里云安全团队正式向Apache上报了Apache Log4j2远程代码执行漏洞。由于 Apache Log4j2 的部分功能具有递归解析能力java控制面板中没有安全级别,攻击者可以直接构造恶意请求来触发远程代码执行漏洞。

    由于 Log4j2 被用作日志的基本第三方库,因此被大量 Java 框架和应用程序使用。只要使用Log4j2进行日志输出,并且日志内容可以被攻击者部分控制,就有可能受到漏洞攻击的影响。因此,该漏洞也影响了全球大量常见的应用程序和组件,例如:

    建议及时检查和升级所有使用Log4j组件的系统或应用程序。

    漏洞评级

    Apache Log4j 远程代码执行漏洞,严重!

    康明斯发电机面板控制_java控制面板中没有安全级别_中亿孕婴奶粉有假货没?

    金山毒霸直接将漏洞级别设置为最高级别。

    影响版本

    经验证2.15.0-rc1版本有旁路,实际影响范围如下:

    Apache Log4j 2.x

    安全建议

    1、查看应用是否引入了Apache log4j-core Jar包。如果引入了依赖项并且在受影响的版本范围内,则可能存在漏洞影响。请尽快将所有Apache Log4j2相关应用升级到最新的log4j-2.15.0-rc2版本,地址

    2、升级已知受影响的应用和组件java控制面板中没有安全级别,例如spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

    3、jdk版本可以升级到6u211/7u201/8u191/11.0.1以上,可以在一定程度上限制JNDI等漏洞的利用。

    1、

    2、

    ···· 结尾 ·······

    站内大部分资源收集于网络,若侵犯了您的合法权益,请联系我们删除!
    欧资源网 » 漏洞评级ApacheLog4j远程代码执行漏洞,严重!(组图)

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    欧资源网
    一个高级程序员模板开发平台

    发表评论