Apache Log4j 2.17.0 版本已正式發布,解決了發現的第三個安全漏洞 CVE-2021-45105。
Apache Log4j2 版本 2.0-alpha1 到 2.16.0 沒有防止 self-referential 尋找的不受控制的遞歸。當日誌配置使用非預設的Pattern Layout 與Context Lookup(例如,$${ctx:loginId})時,控制線程上下文映射(MDC) 輸入資料的攻擊者可以製作包含遞歸查找的惡意輸入數據,導致StackOverflowError,從而終止進程。這也稱為 DoS 攻擊。 【推薦:Apache使用教學】
從2.17.0 版本開始(針對Java 8),只有設定中的尋找字串才會被遞歸擴充;在任何其他用法中,僅解析頂層查找,不解析任何巢狀查找。
在先前的版本中,可以透過確保你的日誌記錄配置執行以下操作來緩解此問題:
- ##在日誌記錄配置的PatternLayout 中,以Thread Context Map 模式(%X、%mdc 或%MDC)取代${ctx:loginId} 或$${ctx:loginId} 等Context Lookups。
- 否則,在設定中刪除對${ctx:loginId} 或${ctx:loginId} 等Context Lookups 的參考;它們源自於應用程式外部的來源,例如HTTP headers或user input.。
2.17.0 版本的特定更新內容包括有:
- 修復字串替換遞歸。修正 LOG4J2-3230
- 將 JNDI 限制在 java 協定。預設情況下,JNDI 將保持停用狀態。將 JNDI 啟用屬性從「log4j2.enableJndi」重新命名為「log4j2.enableJndiLookup」、「log4j2.enableJndiJms」和「log4j2.enableJndiContextSelector」。修正 LOG4J2-3242
- JNDI 僅限於 java 協定。預設情況下,JNDI 將保持停用狀態。啟用屬性已重新命名為“log4j2.enableJndiJava”。修正 LOG4J2-3242
- 不要將 log4j-api-java9 和 log4j-core-java9 宣告為依賴項,因為這會導致 Maven enforcer 外掛程式出現問題。修正 LOG4J2-3241
- 解析屬性檔案篩選器時的 PropertiesConfiguration.parseAppenderFilters NPE。修正 LOG4J2-3247
- Syslog Appender 的 Log4j 1.2 bridge 預設為連接埠 512 而不是 514。修正 LOG4J2-3249
- Log4j 1.2 bridge API 將 Syslog 協定硬編碼為 TCP。修正 LOG4J2-3237
以上是Apache Log4j 2.17.0已發布!看看解決了什麼問題?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

Apache并未走向没落。1.Apache仍是稳定可靠的选择,持续更新如2.4版本的性能优化和安全增强。2.它支持广泛的模块化扩展,配置简单,但高并发时不如Nginx高效。3.在实际应用中,Apache通过mod_rewrite等模块提升SEO性能。4.Apache可与Docker等现代技术融合,提升部署和管理效率。5.通过调整配置和使用优化模块,Apache的性能可显著提升。

配置和管理ApacheHTTPServer的步驟包括:1.基本配置:設置服務器名稱、監聽端口和文檔根目錄。 2.高級配置:設置虛擬主機、啟用SSL加密和URL重寫。 3.性能優化:調整KeepAlive設置和使用緩存。 4.解決常見問題:檢查配置文件語法和優化服務器參數。通過這些步驟,你可以確保Apache服務器穩定運行並優化其性能。

ApacheHTTPServer的主要功能包括模塊化設計、虛擬主機配置和性能優化。 1.模塊化設計通過加載不同模塊實現功能,如SSL加密和URL重寫。 2.虛擬主機配置允許在一個服務器上運行多個網站。 3.性能優化通過調整參數如ServerLimit和KeepAlive提升性能。

Apache通過模塊化設計、與新技術兼容以及性能優化保持適應性和生命力。 1.模塊化設計允許定制功能,如mod_rewrite用於URL重寫。 2.兼容雲計算和容器化技術,如在Docker中運行。 3.引入新模塊如mod_http2支持HTTP/2協議。 4.通過配置文件調整和啟用緩存進行性能優化。

ApacheHTTPServer仍然受歡迎的原因是其模塊化架構、虛擬主機支持和高性能與可靠性。 1)模塊化架構允許通過模塊擴展功能,如mod_rewrite和mod_ssl。 2)虛擬主機功能支持在一個服務器上託管多個網站。 3)多進程模型確保在不同環境下的高性能和穩定性。

Apache是一種開源Web服務器軟件,廣泛用於網站託管。安裝步驟:1.在Ubuntu上使用命令行安裝;2.配置文件位於/etc/apache2/apache2.conf或/etc/httpd/conf/httpd.conf。通過模塊擴展,Apache支持靜態和動態內容託管,優化性能和安全性。

Apache仍在被廣泛使用,但市場份額已從2010年的50%以上降至2023年的不到30%。它的優勢在於穩定性和可靠性,適合需要這些特性的企業級應用;劣勢是多進程模型在高並發下資源消耗大,Nginx在高並發處理上表現更佳。

ApacheWebServer的核心功能包括模塊化設計、虛擬主機配置、安全性設置和性能優化。 1)模塊化設計通過加載不同模塊實現靈活擴展,如mod_rewrite用於URL重寫。 2)虛擬主機配置允許在一台服務器上運行多個網站。 3)安全性設置提供SSL/TLS加密和訪問控制。 4)性能優化涉及啟用KeepAlive、調整MPM配置和啟用緩存。


熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱門文章

熱工具

ZendStudio 13.5.1 Mac
強大的PHP整合開發環境

mPDF
mPDF是一個PHP庫,可以從UTF-8編碼的HTML產生PDF檔案。原作者Ian Back編寫mPDF以從他的網站上「即時」輸出PDF文件,並處理不同的語言。與原始腳本如HTML2FPDF相比,它的速度較慢,並且在使用Unicode字體時產生的檔案較大,但支援CSS樣式等,並進行了大量增強。支援幾乎所有語言,包括RTL(阿拉伯語和希伯來語)和CJK(中日韓)。支援嵌套的區塊級元素(如P、DIV),

SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。

SAP NetWeaver Server Adapter for Eclipse
將Eclipse與SAP NetWeaver應用伺服器整合。

MinGW - Minimalist GNU for Windows
這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。