搜尋
首頁運維ApacheApache Log4j 2.17.0已發布!看看解決了什麼問題?

Apache Log4j 2.17.0 版本已正式發布,解決了發現的第三個安全漏洞 CVE-2021-45105。

Apache Log4j2 版本 2.0-alpha1 到 2.16.0 沒有防止 self-referential 尋找的不受控制的遞歸。當日誌配置使用非預設的Pattern Layout 與Context Lookup(例如,$${ctx:loginId})時,控制線程上下文映射(MDC) 輸入資料的攻擊者可以製作包含遞歸查找的惡意輸入數據,導致StackOverflowError,從而終止進程。這也稱為 DoS 攻擊。 【推薦:Apache使用教學

從2.17.0 版本開始(針對Java 8),只有設定中的尋找字串才會被遞歸擴充;在任何其他用法中,僅解析頂層查找,不解析任何巢狀查找。

在先前的版本中,可以透過確保你的日誌記錄配置執行以下操作來緩解此問題:

  • ##在日誌記錄配置的PatternLayout 中,以Thread Context Map 模式(%X、%mdc 或%MDC)取代${ctx:loginId} 或$${ctx:loginId} 等Context Lookups。

  • 否則,在設定中刪除對${ctx:loginId} 或${ctx:loginId} 等Context Lookups 的參考;它們源自於應用程式外部的來源,例如HTTP headers或user input.。

2.17.0 版本的特定更新內容包括有:

  • 修復字串替換遞歸。修正 LOG4J2-3230

  • 將 JNDI 限制在 java 協定。預設情況下,JNDI 將保持停用狀態。將 JNDI 啟用屬性從「log4j2.enableJndi」重新命名為「log4j2.enableJndiLookup」、「log4j2.enableJndiJms」和「log4j2.enableJndiContextSelector」。修正 LOG4J2-3242

  • JNDI 僅限於 java 協定。預設情況下,JNDI 將保持停用狀態。啟用屬性已重新命名為“log4j2.enableJndiJava”。修正 LOG4J2-3242

  • 不要將 log4j-api-java9 和 log4j-core-java9 宣告為依賴項,因為這會導致 Maven enforcer 外掛程式出現問題。修正 LOG4J2-3241

  • 解析屬性檔案篩選器時的 PropertiesConfiguration.parseAppenderFilters NPE。修正 LOG4J2-3247

  • Syslog Appender 的 Log4j 1.2 bridge 預設為連接埠 512 而不是 514。修正 LOG4J2-3249

  • Log4j 1.2 bridge API 將 Syslog 協定硬編碼為 TCP。修正 LOG4J2-3237

以上是Apache Log4j 2.17.0已發布!看看解決了什麼問題?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述
本文轉載於:OSC开源社区。如有侵權,請聯絡admin@php.cn刪除
阿帕奇死了嗎?揭穿神話阿帕奇死了嗎?揭穿神話Apr 30, 2025 am 12:18 AM

Apache并未走向没落。1.Apache仍是稳定可靠的选择,持续更新如2.4版本的性能优化和安全增强。2.它支持广泛的模块化扩展,配置简单,但高并发时不如Nginx高效。3.在实际应用中,Apache通过mod_rewrite等模块提升SEO性能。4.Apache可与Docker等现代技术融合,提升部署和管理效率。5.通过调整配置和使用优化模块,Apache的性能可显著提升。

Apache:配置和管理Web服務器Apache:配置和管理Web服務器Apr 29, 2025 am 12:18 AM

配置和管理ApacheHTTPServer的步驟包括:1.基本配置:設置服務器名稱、監聽端口和文檔根目錄。 2.高級配置:設置虛擬主機、啟用SSL加密和URL重寫。 3.性能優化:調整KeepAlive設置和使用緩存。 4.解決常見問題:檢查配置文件語法和優化服務器參數。通過這些步驟,你可以確保Apache服務器穩定運行並優化其性能。

Apache在行動中:Web服務器和Web應用程序Apache在行動中:Web服務器和Web應用程序Apr 28, 2025 am 12:21 AM

ApacheHTTPServer的主要功能包括模塊化設計、虛擬主機配置和性能優化。 1.模塊化設計通過加載不同模塊實現功能,如SSL加密和URL重寫。 2.虛擬主機配置允許在一個服務器上運行多個網站。 3.性能優化通過調整參數如ServerLimit和KeepAlive提升性能。

Apache的適應性:倖存於不斷發展的網絡Apache的適應性:倖存於不斷發展的網絡Apr 27, 2025 am 12:01 AM

Apache通過模塊化設計、與新技術兼容以及性能優化保持適應性和生命力。 1.模塊化設計允許定制功能,如mod_rewrite用於URL重寫。 2.兼容雲計算和容器化技術,如在Docker中運行。 3.引入新模塊如mod_http2支持HTTP/2協議。 4.通過配置文件調整和啟用緩存進行性能優化。

Apache的功能:為什麼它仍然是一個受歡迎的選擇Apache的功能:為什麼它仍然是一個受歡迎的選擇Apr 26, 2025 am 12:16 AM

ApacheHTTPServer仍然受歡迎的原因是其模塊化架構、虛擬主機支持和高性能與可靠性。 1)模塊化架構允許通過模塊擴展功能,如mod_rewrite和mod_ssl。 2)虛擬主機功能支持在一個服務器上託管多個網站。 3)多進程模型確保在不同環境下的高性能和穩定性。

使用Apache:構建和託管網站使用Apache:構建和託管網站Apr 25, 2025 am 12:07 AM

Apache是一種開源Web服務器軟件,廣泛用於網站託管。安裝步驟:1.在Ubuntu上使用命令行安裝;2.配置文件位於/etc/apache2/apache2.conf或/etc/httpd/conf/httpd.conf。通過模塊擴展,Apache支持靜態和動態內容託管,優化性能和安全性。

Apache:它仍然使用嗎?查看Web服務器趨勢Apache:它仍然使用嗎?查看Web服務器趨勢Apr 24, 2025 am 12:17 AM

Apache仍在被廣泛使用,但市場份額已從2010年的50%以上降至2023年的不到30%。它的優勢在於穩定性和可靠性,適合需要這些特性的企業級應用;劣勢是多進程模型在高並發下資源消耗大,Nginx在高並發處理上表現更佳。

Apache Web服務器:核心功能解釋了Apache Web服務器:核心功能解釋了Apr 23, 2025 am 12:12 AM

ApacheWebServer的核心功能包括模塊化設計、虛擬主機配置、安全性設置和性能優化。 1)模塊化設計通過加載不同模塊實現靈活擴展,如mod_rewrite用於URL重寫。 2)虛擬主機配置允許在一台服務器上運行多個網站。 3)安全性設置提供SSL/TLS加密和訪問控制。 4)性能優化涉及啟用KeepAlive、調整MPM配置和啟用緩存。

See all articles

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

強大的PHP整合開發環境

mPDF

mPDF

mPDF是一個PHP庫,可以從UTF-8編碼的HTML產生PDF檔案。原作者Ian Back編寫mPDF以從他的網站上「即時」輸出PDF文件,並處理不同的語言。與原始腳本如HTML2FPDF相比,它的速度較慢,並且在使用Unicode字體時產生的檔案較大,但支援CSS樣式等,並進行了大量增強。支援幾乎所有語言,包括RTL(阿拉伯語和希伯來語)和CJK(中日韓)。支援嵌套的區塊級元素(如P、DIV),

SecLists

SecLists

SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。

SAP NetWeaver Server Adapter for Eclipse

SAP NetWeaver Server Adapter for Eclipse

將Eclipse與SAP NetWeaver應用伺服器整合。

MinGW - Minimalist GNU for Windows

MinGW - Minimalist GNU for Windows

這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。