文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
    • 综合排序
    • 最热优先
    • 最新优先
    时间不限
    时间不限
    最近一周
    最近一月
    最近三月
  • 来自专栏代码人生

    ES 解决 log4j 安全漏洞

    公司 ES 使用 Log4j 2 组件,存在安全问题,升级 ES 镜像中的 Log4j 2 版本解决该问题。 原理 java 项目只用替换编译出来的 jar 包就可以。 快速教程 下载 log4j-core-2.16.jar 和 log4j-api-2.16.jar https://repo.maven.apache.org/maven2/org/apache/logging /log4j/log4j-core/2.16.0/ https://repo.maven.apache.org/maven2/org/apache/logging/log4j/log4j-api/2.16.0 /lib/log4j-api-2.11.1.jar log4j 在每个 ES 镜像中位置不同,可以进入容器,使用find 命令查找 docker run -it --user root devops-docker.pkg.codingcorp.net log4j-api-*.jar

    1.5K10编辑于 2021-12-16
  • 来自专栏云鼎实验室的专栏

    2025年4月企业必修安全漏洞清单

    腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。 当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。 腾讯云安全中心定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。 以下是2025年4月份必修安全漏洞清单: 一、Vite 任意文件读取漏洞(CVE-2025-31486) 二、Vite 任意文件读取漏洞(CVE-2025-32395) 三、Langflow 远程代码执行漏洞

    20510编辑于 2026-04-09
  • 来自专栏代码人生

    Elasticsearch 解决 log4j 安全漏洞 - 升级镜像

    公司 ES 使用 Log4j 2 组件,存在安全问题,升级 ES 镜像中的 Log4j 2 版本解决该问题。 1.1 原理 java 项目只用替换编译出来的 jar 包就可以。 log4j-api-*.jar 如果版本小于 2.17.jar,就需要升级 2.2 下载物料 下载 log4j-core-2.16.jar 和 log4j-api-2.16.jar https:// repo.maven.apache.org/maven2/org/apache/logging/log4j/log4j-core/2.16.0/ https://repo.maven.apache.org /maven2/org/apache/logging/log4j/log4j-api/2.16.0/ 2.3 创建镜像目录结构 新建 static 目录,将下载的 jar 放入 static 文件夹 项目目录 elasticsearch ├── Dockerfile ├── static │ ├── log4j-api-2.16.0.jar │ └── log4j-core-2.16.0.jar

    1.8K10编辑于 2023-02-26
  • 来自专栏Rust 编程

    Rust生态安全漏洞总结系列 Part 4 | 请用 time 代替 chrono

    建议不要使用 `std::env::set_var`[4]。 这个安全漏洞目前有一些限制,所以无法修复。 Chrono 必须支持系统本地时区(Local::now())等。 该系统本地时区必须与 C 的 localtime* 返回的内容相匹配。 /chrono [3] rustsec.org : RUSTSEC-2020-0159: https://rustsec.org/advisories/RUSTSEC-2020-0159.html [4]

    1.7K30发布于 2021-11-10
  • 来自专栏阿杰

    跟踪一下log4j2的安全漏洞

    跟踪一下log4j2的安全漏洞 总结 bug出现的根源 解决方案 官方网站对LookUp介绍 代码跟踪 pom依赖 日志格式 Main方法 rmi本地服务 bug的源码定位 总结 开源项目不易,功能少了推广不动 (一般生产环境网关才对外暴露) log4j2.formatMsgNoLookups=true;源码类: org.apache.logging.log4j.core.util.Constants 注释如下 -- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --> <dependency> <groupId >org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.14.1</version -- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api --> <dependency> <groupId

    74320编辑于 2022-02-21
  • 来自专栏安恒信息

    安全漏洞公告

    Could Allow Denial of Service (2962478) 链接: http://technet.microsoft.com/security/bulletin/MS14-031 4 Information Disclosure (2969258) 链接: http://technet.microsoft.com/security/bulletin/MS14-032 5 PHP acinclude.m4任意文件覆盖漏洞 PHP acinclude.m4任意文件覆盖漏洞发布时间:2014-06-05漏洞编号:CVE ID: CVE-2014-3981漏洞描述:PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到 PHP 5.5.13及更早版本的配置脚本中使用的acinclude.m4存在安全漏洞,可使本地用户对 /tmp/phpglibccheck文件执行符号链接攻击,从而覆盖任意文件。

    1.5K40发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    开放重定向漏洞 2 Apache Commons FileUpload ‘DiskFileItem’类空字节任意文件写入漏洞 3 Red Hat JBoss JBoss EAP 身份验证安全绕过漏洞 4

    1.5K60发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    PHP 5.4.28之前版本在php-fpm.conf.in的实现上存在安全漏洞,本地攻击者可利用此漏洞获取提升的权限并执行任意代码。 另外 CookieInterceptor配置为接受所有cookie后也存在此类安全漏洞。成功利用后可使攻击者绕过某些安全限制并执行未授权操作。 cwiki.apache.org/confluence/display/WW/S2-021 补丁下载:http://struts.apache.org/download.cgi#struts23162 4 Linux Kernel存在安全漏洞,在已连接的netlink套接字上调用write(2)可重配置linux上的网络。

    2.3K50发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    请到厂商的主页下载:http://cloudstack.apache.org/docs/en-US/Apache_CloudStack/4.1.1/html/Release_Notes/index.html 4 多个思科产品存在安全漏洞,该漏洞相关OSPF LSA数据库。此漏洞可使未经身份验证的攻击者完全控制OSPF AS域路由表、黑洞流量、中间流量等。 多个思科内容网络和视频传递产品漏洞在配置为中心管理模式中运行时,Web框架内存在安全漏洞。经过身份验证的远程攻击者虽然没有权限,但可以在受影响系统上、受影响系统管理的设备上执行任意代码。

    1.6K30发布于 2018-04-09
  • 来自专栏安恒信息

    安全漏洞公告

    Apache Roller OGNL表达式注入远程代码执行漏洞发布时间:2013-11-27漏洞编号:BUGTRAQ ID: 63928 CVE(CAN) ID: CVE-2013-4212漏洞描述:Apache Roller是适合于博客站点的多用户博客群服务器。 Apache Roller 5.0.2之前版本在实现上存在OGNL注入漏洞,因为使用ActionSupport.getText方法的方式不正确,所有UIAction控制器中存在OGNL注入,远程攻击者可利用此漏洞控制服务器端对象并在

    1.7K60发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    SCADA Data Gateway 3.00.0635之前版本处理特制的DNP3数据包时存在安全漏洞,可使远程攻击者造成拒绝服务(过量数据处理)。 SCADA Data Gateway 3.00.0635之前版本处理串行线上特制的DNP请求时存在安全漏洞,可使物理位置接近的攻击者造成拒绝服务(过量数据处理)。 /products/scada-data-gateway/what%27s-new 参考: http://ics-cert.us-cert.gov/advisories/ICSA-14-149-01 4 多个F-Secure产品的Online Safety及Browsing Protection功能在实现上存在安全漏洞,可导致攻击者可以读取用户文件系统内的任意文件。 Serv-U多个安全漏洞发布时间:2014-06-04漏洞编号: 漏洞描述:Serv-U是一种使用广泛的FTP服务器程序。

    1.6K40发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    Apache HTTP Server 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1在实现上存在安全漏洞,可被恶意利用造成拒绝服务。 安全建议:lighttpd 1.4.35已经修复该漏洞,建议用户下载更新: http://www.lighttpd.net/ 4 lighttpd mod_mysql_vhost.c SQL注入漏洞

    2K60发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    JBoss Seam在AuthenticationFilter的日志记录实现上存在安全漏洞,成功利用后可使攻击者在受影响应用上下文中执行任意代码。 IBM Security Access Manager (ISAM) for Mobile 8.0、IBM Security Access Manager for Web 7.0、8.0版本存在安全漏洞 uid=swg21676699 4 多个华为产品'eSap'平台远程堆缓冲区溢出漏洞 多个华为产品'eSap'平台远程堆缓冲区溢出漏洞发布时间:2014-06-23漏洞编号:BUGTRAQ ID: 68130

    1.5K50发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    1 McAfee Email Gateway存在未明任意命令执行漏洞 2 Zend Framework代理请求处理IP地址伪造漏洞 3Cisco ASA CX安全搜索策略绕过漏洞 4 Zabbix任意命令执行漏洞

    911100发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    uid=swg21670870 http://xforce.iss.net/xforce/xfdb/88364 4 IBM DB2及DB2 Connect权限提升漏洞 IBM DB2及DB2 Connect

    1.7K60发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    IBM WebSphere Portal WEB内容管理器UI存在安全漏洞,允许远程攻击者利用漏洞通过IFFRAME元素注入恶意脚本或HTML代码,当恶意数据被查看时可获取敏感信息或者劫持用户会话。 uid=swg24023835 4 IBM Lotus iNotes存在未明跨站脚本漏洞 IBM Lotus iNotes存在未明跨站脚本漏洞发布时间:2013-12-20漏洞号:BUGTRAQ

    1.5K120发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    1 Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞发布时间 branches/dev/ZBX-8151-18 r46594 for 1.8 svn://svn.zabbix.com/branches/dev/ZBX-8151-20 r46600 for 2.0+ 4 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.php.net/downloads.php https://github.com/php/php-src/commit/4f73394fdd95d3165b4391e1b0dedd57fced8c3b

    1.6K70发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    Cisco NX-OS在处理BGP更新消息时BGP实现存在安全漏洞,允许未验证远程攻击者使设备上所有BGP会话重置。 攻击者通过提交构建特定的BGP标记更新消息可触发该漏洞,可使配置了V**v4, V**v6, or 标记了单播地址族的IPv6的Cisco NX-OS设备上所有BGP会话重置。

    1.5K70发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    Xen 4.1-4.4.x版本的HVMOP_set_mem_type控件在实现上存在安全漏洞,本地客户端HVM管理员利用另外一个qemu-dm漏洞触发未指定内存页类型的无效页面表转换,然后利用此漏洞可造成拒绝服务或执行任意代码 p=cxf.git;a=commit;h=f8ed98e684c1a67a77ae8726db05a04a4978a445 4 Apache Struts 'CookieInterceptor'安全限制绕过漏洞

    1.7K70发布于 2018-04-10
  • 来自专栏安恒信息

    安全漏洞公告

    1 Oracle MySQL Server远程安全漏洞 Oracle MySQL Server远程安全漏洞发布时间:2014-04-17漏洞编号:BUGTRAQ ID: 66863,66872 CVE Oracle MySQL Server在MySQL Server组件的实现上存在远程安全漏洞,此漏洞可通过MySQL Server协议利用,经身份验证的远程攻击者可利用此漏洞影响受影响组件的可用性。 type=doc&id=1635913.1 2 Oracle WebLogic Server远程安全漏洞 Oracle WebLogic Server远程安全漏洞发布时间:2014-04-15漏洞编号: Oracle WebLogic Server组件在实现上存在远程安全漏洞,此漏洞可通过T3协议利用,未经身份验证的远程攻击者可利用此漏洞影响受影响组件的机密性、完整性、可用性。 downloads.html http://support.f5.com/kb/en-us/solutions/public/15000/100/sol15154.html 4

    1.3K90发布于 2018-04-10
第 2 页第 3 页第 4 页第 5 页第 6 页第 7 页第 8 页第 9 页第 10 页第 11 页
点击加载更多

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

领券