Apache Log4j 2.17.0 版本已正式發布,解決了發現的第三個安全漏洞 CVE-2021-45105。
Apache Log4j2 版本 2.0-alpha1 到 2.16.0 沒有防止 self-referential 尋找的不受控制的遞歸。當日誌配置使用非預設的Pattern Layout 與Context Lookup(例如,$${ctx:loginId})時,控制線程上下文映射(MDC) 輸入資料的攻擊者可以製作包含遞歸查找的惡意輸入數據,導致StackOverflowError,從而終止進程。這也稱為 DoS 攻擊。 【推薦:Apache使用教學】
從2.17.0 版本開始(針對Java 8),只有設定中的尋找字串才會被遞歸擴充;在任何其他用法中,僅解析頂層查找,不解析任何巢狀查找。
在先前的版本中,可以透過確保你的日誌記錄配置執行以下操作來緩解此問題:
- ##在日誌記錄配置的PatternLayout 中,以Thread Context Map 模式(%X、%mdc 或%MDC)取代${ctx:loginId} 或$${ctx:loginId} 等Context Lookups。
- 否則,在設定中刪除對${ctx:loginId} 或${ctx:loginId} 等Context Lookups 的參考;它們源自於應用程式外部的來源,例如HTTP headers或user input.。
2.17.0 版本的特定更新內容包括有:
- 修復字串替換遞歸。修正 LOG4J2-3230
- 將 JNDI 限制在 java 協定。預設情況下,JNDI 將保持停用狀態。將 JNDI 啟用屬性從「log4j2.enableJndi」重新命名為「log4j2.enableJndiLookup」、「log4j2.enableJndiJms」和「log4j2.enableJndiContextSelector」。修正 LOG4J2-3242
- JNDI 僅限於 java 協定。預設情況下,JNDI 將保持停用狀態。啟用屬性已重新命名為“log4j2.enableJndiJava”。修正 LOG4J2-3242
- 不要將 log4j-api-java9 和 log4j-core-java9 宣告為依賴項,因為這會導致 Maven enforcer 外掛程式出現問題。修正 LOG4J2-3241
- 解析屬性檔案篩選器時的 PropertiesConfiguration.parseAppenderFilters NPE。修正 LOG4J2-3247
- Syslog Appender 的 Log4j 1.2 bridge 預設為連接埠 512 而不是 514。修正 LOG4J2-3249
- Log4j 1.2 bridge API 將 Syslog 協定硬編碼為 TCP。修正 LOG4J2-3237
以上是Apache Log4j 2.17.0已發布!看看解決了什麼問題?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本文给大家介绍如何安装apache2.4,以及如何配置php8.0,文中附有图文详细步骤,下面就带大家一起看看怎么安装配置apache2.4+php8.0吧~

查看apache版本的步骤:1、进入cmd命令窗口;2、使用cd命令切换到Apache的bin目录下,语法“cd bin目录路径”;3、执行“httpd -v”命令来查询版本信息,在输出结果中即可查看apache版本号。

mod_limitipconn,这个是apache的一个非官方模块,根据同一个来源ip进行并发连接控制,bw_mod,它可以根据来源ip进行带宽限制,它们都是apache的第三方模块。1.下载:wgetwget2.安装#tar-zxvfmod_limitipconn-0.22.tar.gz#cdmod_limitipconn-0.22#vimakefile修改:apxs=“/usr/local/apache2/bin/apxs”#这里是自己apache的apxs路径,加载模块或者#/usr/lo

本篇文章给大家带来了关于PHP的相关知识,其中主要跟大家分享在Ubuntu20.04 LTS环境下安装Apache的全过程,并且针对其中可能出现的一些坑也会提供解决方案,感兴趣的朋友下面一起来看一下吧,希望对大家有帮助。

1.Nginx和tomcat的区别nginx常用做静态内容服务和代理服务器,直接外来请求转发给后面的应用服务器(tomcat,Django等),tomcat更多用来做一个应用容器,让javawebapp泡在里面的东西。严格意义上来讲,Apache和nginx应该叫做HTTPServer,而tomcat是一个ApplicationServer是一个Servlet/JSO应用的容器。客户端通过HTTPServer访问服务器上存储的资源(HTML文件,图片文件等),HTTPServer是中只是把服务器

在使用 PHP 进行网站开发时,你可能会遇到字符编码问题。特别是在使用不同的 Web 服务器时,会发现 IIS 和 Apache 处理字符编码的方法不同。当你使用 IIS 时,可能会发现在使用 UTF-8 编码时出现了乱码现象;而在使用 Apache 时,一切正常,没有出现任何问题。这种情况应该怎么解决呢?

Pacemaker是适用于类Linux操作系统的高可用性集群软件。Pacemaker被称为“集群资源管理器”,它通过在集群节点之间进行资源故障转移来提供集群资源的最大可用性。Pacemaker使用Corosync进行集群组件之间的心跳和内部通信,Corosync还负责集群中的投票选举(Quorum)。先决条件在我们开始之前,请确保你拥有以下内容:两台RHEL9/8服务器RedHat订阅或本地配置的仓库通过SSH访问两台服务器root或sudo权限互联网连接实验室详情:服务器1:node1.exa

快速查看服务器软件的编译参数:1、nginx编译参数:your_nginx_dir/sbin/nginx-v2、apache编译参数:catyour_apache_dir/build/config.nice3、php编译参数:your_php_dir/bin/php-i|grepconfigure4、mysql编译参数:catyour_mysql_dir/bin/mysqlbug|grepconfigure以下是完整的实操例子:查看获取nginx的编译参数:[root@www~]#/usr/lo


熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

AI Hentai Generator
免費產生 AI 無盡。

熱門文章

熱工具

SublimeText3 英文版
推薦:為Win版本,支援程式碼提示!

SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。

Dreamweaver Mac版
視覺化網頁開發工具

SAP NetWeaver Server Adapter for Eclipse
將Eclipse與SAP NetWeaver應用伺服器整合。

SublimeText3 Linux新版
SublimeText3 Linux最新版