AIOps 一场颠覆传统运维的盛筵
681
2022-10-11
Apache Log4j 2.17.0已发布!看看解决了什么问题?
Apache Log4j 2.17.0 版本已正式发布,解决了被发现的第三个安全漏洞 CVE-2021-45105。
Apache Log4j2 版本 2.0-alpha1 到 2.16.0 没有防止 self-referential 查找的不受控制的递归。当日志配置使用非默认的 Pattern Layout 与 Context Lookup(例如,$${ctx:loginId})时,控制线程上下文映射 (MDC) 输入数据的攻击者可以制作包含递归查找的恶意输入数据,导致 StackOverflowError,从而终止进程。这也称为 DoS 攻击。【推荐:Apache使用教程】
从 2.17.0 版本开始(针对 Java 8),只有配置中的查找字符串才会被递归扩展;在任何其他用法中,仅解析顶层查找,不解析任何嵌套查找。
在以前的版本中,可以通过确保你的日志记录配置执行以下操作来缓解此问题:
在日志记录配置的 PatternLayout 中,用 Thread Context Map 模式(%X、%mdc 或 %MDC)替换 ${ctx:loginId} 或 $${ctx:loginId} 等 Context Lookups。否则,在配置中删除对 ${ctx:loginId} 或 ${ctx:loginId} 等 Context Lookups 的引用;它们源自应用程序外部的源,如 HTTP headers 或 user input.。
2.17.0 版本的具体更新内容包括有:
php入门到就业线上直播课:查看学习
发表评论
暂时没有评论,来抢沙发吧~