Apache Log4j 2.17.0 telah dikeluarkan! Lihat masalah apa yang telah diselesaikan?-Apache-php.cn

Rumah

Operasi dan penyelenggaraan

Apache

Apache Log4j 2.17.0 telah dikeluarkan! Lihat masalah apa yang telah diselesaikan?

藏色散人

Dec 20, 2021 am 11:09 AM

apache

Apache Log4j versi 2.17.0 telah dikeluarkan secara rasmi, menyelesaikan kerentanan keselamatan ketiga yang ditemui CVE-2021-45105.

Apache Log4j2 versi 2.0-alpha1 hingga 2.16.0 tidak menghalang pengulangan carian rujukan kendiri yang tidak terkawal. Apabila konfigurasi log menggunakan Reka Letak Corak dan Carian Konteks bukan lalai (contohnya, $${ctx:loginId}), penyerang yang mengawal data input peta konteks benang (MDC) boleh mencipta data input berniat jahat yang mengandungi carian rekursif, menyebabkan a StackOverflowError dengan itu menamatkan proses. Ini juga dipanggil serangan DoS. [Disyorkan: Tutorial penggunaan Apache]

Bermula dari versi 2.17.0 (untuk Java 8), hanya rentetan carian dalam konfigurasi akan dikembangkan secara rekursif dalam mana-mana penggunaan lain, Hanya atas -pencarian peringkat dihuraikan, bukan sebarang carian bersarang.

Dalam versi terdahulu, isu ini boleh dikurangkan dengan memastikan konfigurasi pengelogan anda melakukan perkara berikut:

Dalam konfigurasi pengelogan Dalam PatternLayout, gantikan Carian Konteks seperti ${ctx:loginId} atau $${ctx:loginId} dengan corak Peta Konteks Benang (%X, %mdc atau %MDC).
Jika tidak, alih keluar rujukan kepada Carian Konteks seperti ${ctx:loginId} atau ${ctx:loginId} dalam konfigurasi ia berasal daripada sumber luar aplikasi, seperti HTTP pengepala atau input pengguna..

Kemas kini khusus versi 2.17.0 termasuk:

Betulkan rekursi penggantian rentetan. Betulkan LOG4J2-3230
Hadkan JNDI kepada protokol java sahaja. Secara lalai, JNDI akan kekal dilumpuhkan. JNDI yang dinamakan semula membolehkan sifat daripada "log4j2.enableJndi" kepada "log4j2.enableJndiLookup", "log4j2.enableJndiJms", dan "log4j2.enableJndiContextSelector". Betulkan LOG4J2-3242
JNDI terhad kepada protokol java sahaja. Secara lalai, JNDI akan kekal dilumpuhkan. Sifat daya telah dinamakan semula kepada "log4j2.enableJndiJava". Betulkan LOG4J2-3242
Jangan isytiharkan log4j-api-java9 dan log4j-core-java9 sebagai kebergantungan kerana ini akan menyebabkan masalah dengan pemalam penguatkuasa Maven. Betulkan LOG4J2-3241
PropertiesConfiguration.parseAppenderFilters NPE apabila menghuraikan penapis fail sifat. Betulkan LOG4J2-3247
Jambatan Log4j 1.2 Syslog Appender lalai kepada port 512 dan bukannya 514. Betulkan LOG4J2-3249
Log4j 1.2 jambatan API kod keras Protokol Syslog kepada TCP. Betulkan LOG4J2-3237

Atas ialah kandungan terperinci Apache Log4j 2.17.0 telah dikeluarkan! Lihat masalah apa yang telah diselesaikan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan

Artikel ini dikembalikan pada:OSC开源社区. Jika ada pelanggaran, sila hubungi admin@php.cn Padam

Artikel Berkaitan

Apa yang Harus Dilakukan Sekiranya Pelabuhan Apache80 DidudukiApr 13, 2025 pm 01:24 PM

Apabila port Apache 80 diduduki, penyelesaiannya adalah seperti berikut: Cari proses yang menduduki pelabuhan dan tutupnya. Semak tetapan firewall untuk memastikan Apache tidak disekat. Jika kaedah di atas tidak berfungsi, sila buat semula Apache untuk menggunakan port yang berbeza. Mulakan semula perkhidmatan Apache.

Cara menyelesaikan masalah yang tidak dapat dimulakan oleh ApacheApr 13, 2025 pm 01:21 PM

Apache tidak boleh bermula kerana sebab -sebab berikut mungkin: ralat sintaks fail konfigurasi. Konflik dengan port permohonan lain. Isu kebenaran. Keluar dari ingatan. Proses kebuntuan. Kegagalan daemon. Isu Kebenaran Selinux. Masalah firewall. Konflik perisian.

Cara menetapkan direktori CGI di ApacheApr 13, 2025 pm 01:18 PM

Untuk menubuhkan direktori CGI di Apache, anda perlu melakukan langkah-langkah berikut: Buat direktori CGI seperti "CGI-Bin", dan memberikan kebenaran menulis Apache. Tambah blok arahan "Scriptalias" dalam fail konfigurasi Apache untuk memetakan direktori CGI ke url "/cgi". Mulakan semula Apache.

Cara melihat versi Apache andaApr 13, 2025 pm 01:15 PM

Terdapat 3 cara untuk melihat versi pada pelayan Apache: melalui baris arahan (Apachectl -v atau Apache2CTL -V), periksa halaman status pelayan (http: // & lt; IP pelayan atau nama domain & gt;/pelayan -status), atau lihat fail konfigurasi Apache (Serverversion: Apache/& lt;

Cara memulakan semula pelayan ApacheApr 13, 2025 pm 01:12 PM

Untuk memulakan semula pelayan Apache, ikuti langkah -langkah ini: Linux/MacOS: Run Sudo SystemCtl Restart Apache2. Windows: Jalankan Net Stop Apache2.4 dan kemudian Net Start Apache2.4. Jalankan Netstat -A | Cari 80 untuk memeriksa status pelayan.

Cara memadam lebih daripada nama pelayan ApacheApr 13, 2025 pm 01:09 PM

Untuk memadam arahan Serverve Name tambahan dari Apache, anda boleh mengambil langkah -langkah berikut: Kenal pasti dan padamkan Arahan ServerName tambahan. Mulakan semula Apache untuk membuat perubahan berkuatkuasa. Semak fail konfigurasi untuk mengesahkan perubahan. Uji pelayan untuk memastikan masalah diselesaikan.

Cara Memulakan ApacheApr 13, 2025 pm 01:06 PM

Langkah-langkah untuk memulakan Apache adalah seperti berikut: Pasang Apache (perintah: sudo apt-get pemasangan apache2 atau muat turun dari laman web rasmi) Mula Apache (linux: Sudo Systemctl Mula Apache2; Windows: Klik kanan "Apache2.4" Perkhidmatan dan pilih "Mula") Boot secara automatik (Pilihan, Linux: Sudo Systemctl

Cara menyambung ke pangkalan data ApacheApr 13, 2025 pm 01:03 PM

Apache menyambung ke pangkalan data memerlukan langkah -langkah berikut: Pasang pemacu pangkalan data. Konfigurasikan fail web.xml untuk membuat kolam sambungan. Buat sumber data JDBC dan tentukan tetapan sambungan. Gunakan API JDBC untuk mengakses pangkalan data dari kod Java, termasuk mendapatkan sambungan, membuat kenyataan, parameter mengikat, melaksanakan pertanyaan atau kemas kini, dan hasil pemprosesan.

See all articles

Alat AI Hot

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Penyingkiran pakaian AI

AI Hentai Generator

Menjana ai hentai secara percuma.

Tunjukkan Lagi

Artikel Panas

R.E.P.O. Kristal tenaga dijelaskan dan apa yang mereka lakukan (kristal kuning)

3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌

R.E.P.O. Tetapan grafik terbaik

3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌

Assassin's Creed Shadows: Penyelesaian Riddle Seashell

2 minggu yang laluByDDD

R.E.P.O. Cara Memperbaiki Audio Jika anda tidak dapat mendengar sesiapa

3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌

WWE 2K25: Cara Membuka Segala -galanya Di Myrise

4 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌

Tunjukkan Lagi

Alat panas

MinGW - GNU Minimalis untuk Windows

Projek ini dalam proses untuk dipindahkan ke osdn.net/projects/mingw, anda boleh terus mengikuti kami di sana. MinGW: Port Windows asli bagi GNU Compiler Collection (GCC), perpustakaan import yang boleh diedarkan secara bebas dan fail pengepala untuk membina aplikasi Windows asli termasuk sambungan kepada masa jalan MSVC untuk menyokong fungsi C99. Semua perisian MinGW boleh dijalankan pada platform Windows 64-bit.