五月天综合网站日本|亚洲欧美人与动人物在线|久久1024国产对白精品|原创国产中文AV

    

        • 

        <bdo id="jr9fn"></bdo>
        <span id="jr9fn"></span>
        


        
  
        
     
        安全的QQ軟件下載站 本站非騰訊QQ官方網(wǎng)站
        
     
        QQ下載|QQ資訊|QQ分類|下載排行|最近更新
        
  
        

        

        
  
        
      
        
        
    
        

        



        當(dāng)前位置:首頁騰訊動態(tài)QQ周邊資訊 → Apache Log4j 2漏洞是怎么回事 Apache Log4j 2漏洞怎么修復(fù)
        

        
  
        
    
        
      
        Apache Log4j 2漏洞是怎么回事 Apache Log4j 2漏洞怎么修復(fù)
        
      
        時間:2021/12/14 8:26:00人氣:0作者:網(wǎng)友整理我要評論(0)
              

      
        近日Apache Log4j 2出現(xiàn)漏洞導(dǎo)致我的世界杯黑客攻擊,不少玩家都受到了不同程度的影響,而這一切的起因都是因?yàn)锳pache Log4j 2漏洞。怎么才能修復(fù)Apache Log4j 2漏洞呢?來看看吧!
        image.png
        Apache Log4j 2漏洞是怎 么回事
        Apache Log4j是一個基于Java的日志記錄工具,是Apache軟件基金會下的一個開源項(xiàng)目。而此次出現(xiàn)漏洞的Apache Log4j 2則是目前該項(xiàng)目的最新版本,且被廣泛地應(yīng)用于各種常見的Web服務(wù)中。而所有使用Java作為開發(fā)語言產(chǎn)品研發(fā)的互聯(lián)網(wǎng)服務(wù)提供商、甚至公司OA系統(tǒng)等提供外部服務(wù)的應(yīng)用只要用Apache Log4j 2插件,都極有可能遭受攻擊。
        據(jù)悉,攻擊者僅需向目標(biāo)輸入一段代碼,不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞,使攻擊者可以遠(yuǎn)程控制用戶受害者服務(wù)器,凡是基于java開發(fā)的應(yīng)用平臺都可能會受到影響。目前,IT通信(互聯(lián)網(wǎng))、高校、工業(yè)制造、金融、政府、醫(yī)療衛(wèi)生、運(yùn)營商等幾乎所有行業(yè)都受到該漏洞波及,全球知名科技公司、電商網(wǎng)站等也未能幸免,個人用戶也難以幸免。
        近日,黑客利用最新曝光的Log4j 2漏洞對Minecraft玩家發(fā)起攻擊,且攻擊方法極為簡單,聊天窗口發(fā)個網(wǎng)址即可觸發(fā)該漏洞。攻擊最早發(fā)生于12月10日,早期攻擊規(guī)模較小,第一天檢測到的受攻擊玩家數(shù)量在100左右。12月11日12時起,黑客發(fā)起大規(guī)模攻擊,從12時開始到目前,平均每小時有近5000個Mincraft玩家遭到攻擊,攻擊最高峰時有超過10000個玩家遭到攻擊。
        image.png
        Apache Log4j 2漏洞怎么修復(fù)
        1、項(xiàng)目中直接使用Apache Log4j2
        升級Apache Log4j2所有相關(guān)應(yīng)用到最新的log4j-2.15.0-rc2 版本,地址 :
        https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
        Apache Maven 版本
        修改pom.xml
        [AppleScript] 代碼如下:
        <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.15.0-rc2</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.15.0-rc2</version> </dependency></dependencies>
        Gradle 版本
        修改build.gradle
        [AppleScript] 代碼如下:
        dependencies { compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.15.0-rc2' compile group: 'org.apache.logging.log4j', name: 'log4j-core', version: '2.15.0-rc2'}
        2、框架次加載 Apache Log4j2
        截止目前,第三方框架中使Apache Log4j2的,如srping-boot、Apache Struts2等,暫未發(fā)布最新修復(fù)版本。
        只能使用臨時方案進(jìn)行修復(fù)。
        ①在jvm啟動參數(shù)中添加-Dlog4j2.formatMsgNoLookups=true
        ②系統(tǒng)環(huán)境變量中配置FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true
        ③項(xiàng)目中創(chuàng)建log4j2.component.properties文件,文件中增加配置log4j2.formatMsgNoLookups=true
        ④部署第三方防火墻產(chǎn)品。
        Apache Log4j 2漏洞有什么不好的影響
        由于minecraft java版也使用了log4j,這個漏洞甚至可以用來在生存模式下作弊,實(shí)測在低版本java(java8u191之前的版本)下可以在minecraft聊天內(nèi)使用jndi注入,因?yàn)閙inecraft會把聊天輸入內(nèi)容打在log里,用的就是log4j,因?yàn)槊罘綁K也可以實(shí)現(xiàn)此注入,在有外部程序配合的情況下,可以實(shí)現(xiàn)完全看不出任何破綻的作弊
        官方啟動器+官方j(luò)re玩家不用進(jìn)行任何操作,雖然正版的log4j版本是存在漏洞的版本,但是因?yàn)槟壳肮俜絾悠饔玫膉re是基于openjdk16的,openjdk16不能使用jndi注入。
        但是還在使用低版本java開服的服主,建議盡快升級log4j和java版本。
        image.png
        
      

    
        
    
    
        
        
        猜你喜歡
        
        
        
          
    
        
    
        
        
        網(wǎng)友評論
        
         
        
   
        
    
        
      
      
        
        
        
        請自覺遵守互聯(lián)網(wǎng)相關(guān)政策法規(guī),評論內(nèi)容只代表網(wǎng)友觀點(diǎn),與本站立場無關(guān)!
      
        
    
        
  
        
  
        
    
        熱門評論
        
    
        
      
    
        
  
        
  
        
    
        最新評論
        
      
        
        
      
        
  
        
  
        已有0人參與,點(diǎn)擊查看更多精彩評論
        

        
    
        
  
        
  
        
      
    
          
          
   
  
        

        


        
	
        

         關(guān)于騰牛 | 聯(lián)系方式 | 發(fā)展歷程 | 版權(quán)聲明 | 下載幫助(?) | 廣告聯(lián)系 | 網(wǎng)站地圖 | 友情鏈接 
        

         Copyright 2005-2021 QQTN.com 【騰牛網(wǎng)】 版權(quán)所有 鄂ICP備19031707號-1 | 鄂公網(wǎng)安備 42011102000245號
        

        聲明: 本站非騰訊QQ官方網(wǎng)站 所有軟件和文章來自互聯(lián)網(wǎng) 如有異議 請與本站聯(lián)系 本站為非贏利性網(wǎng)站 不接受任何贊助和廣告