Apache Log4j 2.17.0 がリリースされました。どのような問題が解決されたかわかりますか?-Apache-php.cn

ホームページ

運用・保守

Apache

Apache Log4j 2.17.0 がリリースされました。どのような問題が解決されたかわかりますか?

藏色散人

Dec 20, 2021 am 11:09 AM

apache

Apache Log4j バージョン 2.17.0 が正式にリリースされ、3 番目に発見されたセキュリティ脆弱性 CVE-2021-45105 が解決されました。

Apache Log4j2 バージョン 2.0-alpha1 から 2.16.0 では、自己参照検索の制御されない再帰が防止されません。ログ設定でデフォルト以外のパターンレイアウトとコンテキストルックアップ ($${ctx:loginId} など) が使用されている場合、スレッドコンテキストマップ (MDC) 入力データを制御する攻撃者は、再帰的ルックアップを含む悪意のある入力データを作成して、 StackOverflowError が発生し、プロセスが終了します。これは DoS 攻撃とも呼ばれます。 [推奨: Apache 使用法チュートリアル ]

バージョン 2.17.0 (Java 8 用) 以降、構成内の検索文字列のみが再帰的に展開されます。その他の使用法では、先頭のみが展開されます。 -レベルのルックアップは解析されますが、ネストされたルックアップは解析されません。

以前のバージョンでは、ログ構成で次のことを行うことでこの問題を軽減できました。

ログ構成内 PatternLayout 内では、${ctx:loginId} や $${ctx:loginId} などのコンテキストルックアップをスレッドコンテキストマップパターン (%X、%mdc、または %MDC) に置き換えます。
それ以外の場合は、構成内の ${ctx:loginId} や ${ctx:loginId} などのコンテキストルックアップへの参照を削除します。これらは、HTTP ヘッダーなど、アプリケーションの外部のソースからのものです。またはユーザー入力..

バージョン 2.17.0 の具体的な更新内容は次のとおりです:

文字列置換再帰を修正しました。 LOG4J2-3230
#JNDI を Java プロトコルのみに制限するよう修正しました。デフォルトでは、JNDI は無効のままです。 JNDI 有効プロパティの名前が「log4j2.enableJndi」から「log4j2.enableJndiLookup」、「log4j2.enableJndiJms」、および「log4j2.enableJndiContextSelector」に変更されました。 LOG4J2-3242
JNDI は Java プロトコルに限定される問題を修正しました。デフォルトでは、JNDI は無効のままです。 Enable プロパティの名前が「log4j2.enableJndiJava」に変更されました。 LOG4J2-3242 を修正
を修正

以上がApache Log4j 2.17.0 がリリースされました。どのような問題が解決されたかわかりますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事はOSC开源社区で複製されています。侵害がある場合は、admin@php.cn までご連絡ください。

Apacheの遺産：何が有名になったのですか？Apr 15, 2025 am 12:19 AM

apachebecamefamousdueToitsopen-sourcenature、modulardesign、andstrongcommunitysupport.1）itseopen-sourcemodemodemissiveapachelicensewidedoption.2）hemodulararchitectureallowed edizadaptability.3）avibrantcomunit.3）

Apacheの利点：パフォーマンスと柔軟性Apr 14, 2025 am 12:08 AM

Apacheのパフォーマンスと柔軟性により、Webサーバーで際立っています。 1）パフォーマンスの利点は、マルチプロセスおよびマルチスレッドモデルを通じて実装される効率的な処理とスケーラビリティに反映されます。 2）柔軟性は、モジュラー設計と構成の柔軟性に起因し、モジュールをロードし、要件に応じてサーバーの動作を調整できます。

Apache80ポートが占有されている場合はどうすればよいですかApr 13, 2025 pm 01:24 PM

Apache 80ポートが占有されている場合、ソリューションは次のとおりです。ポートを占有するプロセスを見つけて閉じます。ファイアウォールの設定を確認して、Apacheがブロックされていないことを確認してください。上記の方法が機能しない場合は、Apacheを再構成して別のポートを使用してください。 Apacheサービスを再起動します。

Apacheを開始できない問題を解決する方法Apr 13, 2025 pm 01:21 PM

Apacheは、次の理由で起動できません。構成ファイル構文エラー。他のアプリケーションポートとの競合。権限の問題。メモリから。デッドロックを処理します。デーモン障害。 Selinux許可の問題。ファイアウォールの問題。ソフトウェアの競合。

ApacheでCGIディレクトリを設定する方法Apr 13, 2025 pm 01:18 PM

ApacheでCGIディレクトリを設定するには、次の手順を実行する必要があります。「CGI-Bin」などのCGIディレクトリを作成し、Apacheの書き込み許可を付与します。 Apache構成ファイルに「Scriptalias」ディレクティブブロックを追加して、CGIディレクトリを「/cgi-bin」URLにマッピングします。 Apacheを再起動します。

Apacheバージョンを表示する方法Apr 13, 2025 pm 01:15 PM

Apacheサーバーでバージョンを表示するには3つの方法があります。コマンドライン（Apachectl -vまたはapache2ctl -v）を介して、サーバーステータスページ（http：//＆lt; server ipまたはdomain name＆gt;/server -status）を確認します。

Apacheサーバーを再起動する方法Apr 13, 2025 pm 01:12 PM

Apacheサーバーを再起動するには、次の手順に従ってください。Linux/MacOS：sudo systemctl restart apache2を実行します。 Windows：Net Stop apache2.4を実行し、ネット開始apache2.4を実行します。 Netstat -A |を実行しますサーバーのステータスを確認するには、STR 80を見つけます。

Apacheのサーバー名以上の削除方法Apr 13, 2025 pm 01:09 PM

Apacheから追加のservernameディレクティブを削除するには、次の手順を実行できます。追加のservernameディレクティブを識別して削除します。 Apacheを再起動して変更を有効にします。構成ファイルを確認して、変更を確認します。サーバーをテストして、問題が解決されていることを確認します。

See all articles

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AIヘンタイを無料で生成します。

ホットツール

Safe Exam Browser

Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。

EditPlus 中国語クラック版

サイズが小さく、構文の強調表示、コードプロンプト機能はサポートされていません

DVWA

Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、