问答 2024-06-15 来自:开发者社区

应用监控探针依赖的log4j版本有注入漏洞吗

应用监控探针依赖的log4j版本有注入漏洞吗

文章 2023-09-02 来自:开发者社区

Log4j安全漏洞前车之鉴,呕心整理工作中常用开源组件避坑版本

背景     前段时间log4j安全漏洞事件,可以说掀起了一场”血雨腥风“,正好最近做了一个项目对安全要求特别高,对有安全漏洞开源组件做了统一修复。特此总结,希望对大家以后选择组件版本时有所帮助。开源组件工作中常用开源组件版本推荐,建议不要低于推荐版本,可以避免一些安全漏洞。组件坐标推荐版本备注commons-collections:commons-collections3.....

问答 2023-04-18 来自:开发者社区

云效maven库是否有log4j nonelookup2版本?

云效maven库是否有log4j nonelookup2版本?

文章 2023-02-14 来自:开发者社区

浅谈Log4j2之2.15.0版本RCE(二)

RCE分析这一节的内容主要是分析:如果能够绕过localhost拿到目标IP情况下如何RCE假设127.0.0.1#.4ra1n.love可以正常拿到IP地址,接下来需要解决RCE的问题在文章一开始就有分析到,在2.15.0中禁了LDAP的javaFactory属性导致无法加载远程类,那么还能有什么思路呢回顾0x00核心代码中的一个if分支// javaSerializedData属性如果存在 ....

浅谈Log4j2之2.15.0版本RCE(二)
文章 2023-02-14 来自:开发者社区

浅谈Log4j2之2.15.0版本RCE(一)

介绍CVE-2021-45046是Log4j2漏洞爆出后在修复版本中出现的拒绝服务漏洞在该CVE发布2天后,官方将4ra1n加入了credit中,本以为这就结束了第3天在官方安全 页面 发现该漏洞从DoS升级到RCE并提高到9分(个人认为9分过高,虽然能RCE但限制条件过多,具体后续分析)经过两天的分析和调试,我在Windows上复现失败,但在MacOS上确实可以成功(由于家境贫寒买不起Mac所....

浅谈Log4j2之2.15.0版本RCE(一)
文章 2022-09-20 来自:开发者社区

Apache Log4j 被曝第 3 个漏洞:不受控递归 | Apache 官方已发布 2.17 版本修复

自 12 月 10 日起,Apache Log4j2 已接连曝出多个漏洞,并在全球范围内造成了影响。刚刚过去的 12 月 18 日,Apache Log4j 又被曝出第三个漏洞: CVE-2021-45105 —— Apache Log4j 2.0-alpha1 到 2.16.0 的版本无法防止自引用查找的不受控递归(Apache 官方已发布 2.17.0 版本修复)。(相关阅读:高危 Bug ....

Apache Log4j 被曝第 3 个漏洞:不受控递归 | Apache 官方已发布 2.17 版本修复
文章 2022-02-17 来自:开发者社区

Log4j2 发新版本2.16.0 完全删除Message Lookups的支持,加固漏洞防御

昨天,Apache Log4j 团队再次发布了新版本:2.16.0!2.16.0 更新内容默认禁用JNDI的访问,用户需要通过配置log4j2.enableJndi参数开启默认允许协议限制为:java、ldap、ldaps,并将ldap协议限制为仅可访问Java原始对象Message Lookups被完全移除,加固漏洞的防御java项目 fhadmin.cn更多细节,可以通过官网查看:loggi....

Log4j2 发新版本2.16.0 完全删除Message Lookups的支持,加固漏洞防御
文章 2022-02-16 来自:开发者社区

ant的log4j2版本的Listener

点击(此处)折叠或打开 /* * Licensed to the Apache Software Foundation (ASF) under one or more * contributor license agreements. See the NOTICE file distributed with ...

文章 2017-09-01 来自:开发者社区

Apache日志记录组件Log4j出现反序列化漏洞 黑客可以执行任意代码 所有2.x版本均受影响

开源的东西用的人多了,自然漏洞就多。Apache用于日志记录的组件Log4j使用非常灵活,在相当多的开源项目中都有使用,此次漏洞影响所有Apache Log4j 2.*系列版本: Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1,使用Java 7+的用户应立即升级至2.8.2版本。绿盟科技发布安全威胁通告,通告全文如下: Apache Log4j是...

文章 2017-06-09 来自:开发者社区

Apache 宣布 Log4j 1 版本生命周期终结

Apache 日志记录服务 PMC 宣布结束 Log4j™ 1.x 日志记录框架生命周期,不再提供官方支持。 八月初开始,Log4j 1 版本就已经寿终正寝了。 Log4j 在 1999 发布第一个版本,然后快速的成为最多人使用的日志记录框架。这些年 Log4j 发布了很多个版本,现在正在开发和维护 Log4j 2.x 系列,建议 Log4j 1.x 用户升级到最新版本。 在 Log4j 1 生....

本页面内关键词为智能算法引擎基于机器学习所生成,如有任何问题,可在页面下方点击"联系我们"与我们沟通。

Apache Spark 中国技术社区

阿里巴巴开源大数据技术团队成立 Apache Spark 中国技术社区,定期推送精彩案例,问答区数个 Spark 技术同学每日在线答疑,只为营造 Spark 技术交流氛围,欢迎加入!

+关注
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等