- 综合排序
- 最热优先
- 最新优先
- 来自专栏程序员升级之路
Apache Log4j漏洞修复
这个应该是技术人最近谈的比较多的话题了,有的公司连夜在修复,这个时候也体现每家公司的工程化能力了,是一个个应用去发版,还是只要中间件层面动一动就可以看到各家公司的技术实力了。 一、如何确定是否中招或已经修复 import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; "+cmdMessage ); } } 如果运行上面的代码之后报错误有什么lookup的错误,或者有监听了8081端口,则说明你的系统中招了,或者还没修复完毕; 二、查看依赖的库是否如何引用的 查看依赖树,看是否有相关库,具体运行如下命令: mvn dependency:tree 如果有以下的库则要注意版本了,如果版本在2.x到2.15.0-rc1之间则要及时修复; 注意类的全名开头是org.apache.logging : log4j-api log4j-core log4j-jul log4j-slf4j-impl 2、手动引入相关依赖包 <dependency> <groupId>org.apache.logging.log4j
1.7K20编辑于 2021-12-13 - 来自专栏tongyao
log4j2的漏洞修复
log4j2的漏洞修复 简介 Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog Apache Log4j2是Log4j的升级版本,该版本与之前的log4j1.x相比带来了显著的性能提升,并且修复一些存在于Logback中固有的问题的同时提供了很多在Logback中可用的性能提升,Apache 漏洞评级和影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 jdk与log4j2的版本对应关系 Log4j2.12.1是支持 Java 7的最后2.x版本,Log4j2.3是支持Java 6的最后2.x版本,Log4j团队不再提供对Java 6或7的支持。 解决 升级Log4j版本为2.15.0以上即可解决。
62420编辑于 2022-06-09 - 来自专栏CSDN
log4j2漏洞复现及修复
log4j2漏洞复现及修复 1.漏洞复现 搭建简单maven项目,编写测试方法类:LoggerTest.java import org.apache.logging.log4j.LogManager; 、log4j-core 为 2.15.0 后测试结果: 情景三 搭建springboot项目引入log4j-core.2.11.1.jar 版本测试结果: 结果未出现log4j2漏洞问题 的前提下,依然不曾检测到漏洞问题,回到项目中,项目ei-crm-admin也是logback日志输出的项目,且测试方法在项目中也未测出漏洞反应,测试结果如下图: 3.结论 1.项目中同时引入log4j-api 5.kafka (1).测试环境kafka通过命令查看是否引入log4j2 jar包 kafka版本较低,无log4j-core jar包,log4j-api jar包版本不在漏洞版本范围内; spm=a2c6h.12873639.article-detail.7.17f71700U0oHgC 也可参考其他处理方案: Log4j 漏洞修复和临时补救方法 https://developer.aliyun.com
1.1K10编辑于 2024-03-29 - 来自专栏网站漏洞修复
网站漏洞修复 XSS漏洞的修复办法
很多公司的网站维护者都会问,到底什么XSS跨站漏洞? cookies以及seeion值,来窃取用户的账号密码等等的攻击行为,很多客户收到了网警发出的信息安全等级保护的网站漏洞整改书,说网站存在XSS跨站漏洞,客户找到我们SINE安全公司寻求对该漏洞的修复以及解决 针对这种情况,我们来深入了解下XSS,以及该如何修复这种漏洞。 ? XSS跨站漏洞修复方案与办法 XSS跨站漏洞的产生的根源是对前端输入的值以及输出的值进行全面的安全过滤,对一些非法的参数,像<>、,",'等进行自动转义,或者是强制的拦截并提示,过滤双引号,分好,单引号 ,对字符进行HTML实体编码操作,如果您对网站代码不是太懂,可以找专业的网站安全公司来修复XSS跨站漏洞,国内也就SINESAFE,深信服,绿盟,启明星辰比较专业,关于漏洞的修复办法,遵循的就是get,
8.7K20发布于 2019-08-06 - 来自专栏WalkingCloud
Elasticsearch Log4j漏洞快速修复步骤
一、Elasticsearch关于Log4j2漏洞的官方说明 可以参考如下链接 https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve -2021-44228-esa-2021-31/291476 (图片可点击放大查看) 摘要:2021年12月9日,Log4j的GitHub公开披露了一个影响Apache Log4j2多个版本的高严重性漏洞 (CVE-2021-44228) 该漏洞影响了Apache Log4j2的2.0到2.14.1版本。 =true 二、ElasticSearch安全更新版本已发布 2021.12.14 ElasticSearch官方已经发布漏洞修复版本7.16.1 6.8.21版本 (图片可点击放大查看) 用户可以升级到 这些版本没有升级 Log4j 包,而是通过设置JVM 选项来缓解漏洞 -Dlog4j2.formatMsgNoLookups=true 并从 Log4j 包中删除易受攻击的 JndiLookup 类。
11.8K30编辑于 2021-12-15 - 来自专栏网站漏洞修补
网站漏洞修复对如何修复phpcms网站漏洞
SINE安全公司在对phpcms2008网站代码进行安全检测与审计的时候发现该phpcms存在远程代码写入缓存文件的一个SQL注入漏洞,该phpcms漏洞危害较大,可以导致网站被黑,以及服务器遭受黑客的攻击 phpcms2008漏洞详情 在对代码的安全检测与审计当中,发现type.php文件代码存在漏洞,代码如下: <?php require dirname(__FILE__).' phpcms漏洞修复与安全建议 目前phpcms官方已经修复该漏洞,请各大网站运营者尽快升级phpcms2008到最新版本,有些二次开发的网站可以针对缓存目录进行安全限制,禁止PHP脚本文件的执行,data ,cache_template目录进行安全加固部署,对网站上的漏洞进行修复,或者是对网站安全防护参数进行重新设置,使他符合当时的网站环境。 如果不懂如何修复网站漏洞,也可以找专业的网站安全公司来处理,国内也就Sinesafe和绿盟、启明星辰等安全公司比较专业.
8.3K20发布于 2018-12-03 - 来自专栏网站漏洞修复
网站漏洞怎么修复对于thinkphp的漏洞修复
THINKPHP漏洞修复,官方于近日,对现有的thinkphp5.0到5.1所有版本进行了升级,以及补丁更新,这次更新主要是进行了一些漏洞修复,最严重的就是之前存在的SQL注入漏洞,以及远程代码执行查询系统的漏洞都进行了修复 >%27%20>%20safe.php 关于这次thinkphp的漏洞利用以及分析到此就结束了,该漏洞属于高危漏洞,危害严重性较大,很多升级更新补丁的网站都会受到攻击,甚至有些网站会被挂马,那么该如何修复 thinkphp的漏洞呢? 替换之前的正规则表达式即可,还需要对网站的目录进行权限部署,防止生成php文件,对网站上的漏洞进行修复,或者是对网站安全防护参数进行重新设置,使他符合当时的网站环境。 如果不懂如何修复网站漏洞,也可以找专业的网站安全公司来处理,国内如Sinesafe和绿盟、启明星辰等安全公司比较专业.
4.4K40发布于 2019-07-24 - 来自专栏安全加固
【漏洞修复】Redis未授权漏洞复现和修复
0X01漏洞描述 Redis 默认配置下,绑定在 0.0.0.0:6379, Redis服务会暴露到公网上,默认未开启认证下,导致任意用户未授权访问 Redis 以及读取 Redis 的数据 0X02 漏洞危害 (1)攻击者无需认证访问到内部数据,可能导致敏感信息泄露,也可以恶意执行flushall来清空所有数据; (2)攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件 0X03 漏洞验证 1、 利用条件 1) redis服务以root账户运行 2.)redis无密码或弱密码进行认证 3)redis绑定在0.0.0.0公网上 2、 漏洞验证 1) redis无密码认证 image.png 2) 远程未授权访问,info读取敏感信息 image.png 3) 其他利用方式 写入ssh公钥,免密登录 利用crontab反弹shell等 0X04 修复建议 1、 设置本机访问或者指定主机访问 image.png 4、 最小权限运行redis,修改Redis服务运行账号 (需要重启redis才能生效),以较低权限账号运行Redis服务,并禁用该账号的登录权限。
12.1K80发布于 2020-10-22 - 来自专栏安全加固
【漏洞修复】ElasticSearch未授权漏洞复现和修复
0x01漏洞描述 ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。 由于Elasticsearch授权模块需要付费,所以免费开源的Elasticsearch可能存在未授权访问漏洞。该漏洞导致,攻击者可以拥有Elasticsearch的所有权限。可以对数据进行任意操作。 0x02 漏洞危害 Elasticsearch默认9200端口对外开放且未进行验证,用于提供远程管理数据的功能,任何连接到服务器端口上的人,都可以调用相关API对服务器上的数据进行任意的增删改查 0x03 漏洞验证 访问ES相关API,可直接读取敏感数据,甚至可以操作相关数据。 cat/indices http://localhost:9200/_river/_search 查看数据库敏感信息 http://localhost:9200/_nodes 查看节点数据 0x04 修复建议
21.4K40发布于 2020-11-09 - 来自专栏漏洞升级
Weblogic漏洞修复
Oracle WebLogic Server 12.2.1.4.0 关于补丁下载:请使用Oracle官方授权给合作伙伴的MOS账号,登录 https://support.oracle.com/ 进行补丁下载 修复步骤可参考 :https://www.cnblogs.com/cnskylee/p/11200191.html 方案2:禁用相关漏洞协议 1、禁用T3协议: 如果不依赖T3协议进行JVM通信,禁用T3协议。
5.7K20发布于 2020-04-17 - 来自专栏FHADMIN
Log4j 漏洞修复和临时补救方法
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入 <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core [INFO] ------------------------------------------------------------------------ 在这里面我们可以看到使用${}可以实现漏洞的注入 3. log4j2 快速修复措施 修改log4j2版本 据 Apache 官方最新信息显示,release 页面上已经更新了 Log4j 2.15.0 版本,主要是那个log4j-core包,漏洞就是在这个包里产生的 ”设置为“true” 4.关闭对应应用的网络外连,禁止主动外连
1.5K30编辑于 2021-12-14 - 来自专栏网站漏洞修复
PrestaShop 网站漏洞修复如何修复
就在最近几天,PrestaShop被爆出有远程代码注入漏洞,该漏洞影响范围较光,危害较大,可以上传webshell到网站根目录下。 ? 2018年11月7号PrestaShop官方发布了最新的版本,并修复了网站的漏洞,其中包含了之前被爆出的文件上传漏洞,以及恶意删除图片文件夹的漏洞,该漏洞的利用条件是需要有网站的后台管理权限。 这次发现的PrestaShop漏洞,是远程代码注入漏洞,漏洞产生的代码如下在后台的admin-dev目录下filemanager文件里的ajax_calls.php代码,这个远程的注入漏洞是后台处理上传文件的功能导致的 PrestaShop网站漏洞修复与办法 升级PrestaShop的版本到最新版本,设置php.ini的解析功能为off具体是phar.readonly=off,这里设置为关闭,对网站的上传功能加强安全过滤 ,过滤非法参数的插入,对网站的漏洞代码进行功能性的注释。
6.4K20发布于 2019-07-24 - 来自专栏安全加固
【漏洞修复】MongoDB未授权访问漏洞复现和修复
0X01漏洞描述 MongoDB服务安装后,默认未开启权限验证。如果服务监听在0.0.0.0,则可远程无需授权访问数据库。 0X02 漏洞危害 开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增删改高危动作)而且可以远程访问数据库。 0X03 漏洞验证 1、 nmap验证漏洞 nmap -p 27017 --script mongodb-info <ip> 2、 msf验证漏洞 image.png 0X04 修复建议 1、 MongoDB 4)重启MongoDB服务,开启访问认证启动时添加--auth参数 $ mongod --auth --port 27017 --dbpath /tmp/test 或:在配置文件中添加以下内容,指定配置文件启动服务
17.5K50发布于 2020-10-22 - 来自专栏低代码平台
【漏洞修复通知】修复Apache Shiro认证绕过漏洞
近日,Apache官方发布了安全公告,存在Apache Shiro身份认证绕过漏洞,漏洞编号CVE-2022-32532。 JeecgBoot官方已修复,建议大家尽快升级至Apache Shiro 1.9.1版本。 漏洞描述Apache Shiro中使用RegexRequestMatcher进行权限配置,并且正则表达式中携带"."时,可通过绕过身份认证,导致身份权限验证失效。 影响范围Apache Shiro < 1.9.1修复方案升级jeecg-boot/pom.xml中的shiro版本至1.9.1即可,如下图:图片点击可参考修复方案资料参考:https://shiro.apache.org
3.1K30编辑于 2022-07-11 - 来自专栏网站漏洞修补
PrestaShop 网站漏洞修复如何修复
就在最近几天,PrestaShop被爆出有远程代码注入漏洞,该漏洞影响范围较光,危害较大,可以上传webshell到网站根目录下。 2018年11月7号PrestaShop官方发布了最新的版本,并修复了网站的漏洞,其中包含了之前被爆出的文件上传漏洞,以及恶意删除图片文件夹的漏洞,该漏洞的利用条件是需要有网站的后台管理权限。 这次发现的PrestaShop漏洞,是远程代码注入漏洞,漏洞产生的代码如下在后台的admin-dev目录下filemanager文件里的ajax_calls.php代码,这个远程的注入漏洞是后台处理上传文件的功能导致的 PrestaShop网站漏洞修复与办法 升级PrestaShop的版本到最新版本,设置php.ini的解析功能为off具体是phar.readonly=off,这里设置为关闭,对网站的上传功能加强安全过滤 ,过滤非法参数的插入,对网站的漏洞代码进行功能性的注释。
6.5K10发布于 2019-01-01 - 来自专栏网站漏洞修复
怎么修复网站漏洞 骑士cms的漏洞修复方案
骑士CMS是国内公司开发的一套开源人才网站系统,使用PHP语言开发以及mysql数据库的架构,2019年1月份被某安全组织检测出漏洞,目前最新版本4.2存在高危网站漏洞,通杀SQL注入漏洞,利用该网站漏洞可以获取网站的管理员账号密码以及用户账号信息 目前很多人才网站都使用的骑士CMS系统,受影响的网站较多,关于该网站漏洞的详情我们来详细的分析一下。 骑士cms4.2最新版本使用了thinkphp的架构,底层的核心基础代码都是基于thinkphp的开发代码,有些低于4.2版本的网站系统都会受到漏洞的攻击。 然后我们进行安装,调试,使其本地127.0.0.1可以打开网站进行漏洞的测试,该漏洞的利用条件是要网站拥有一些招聘的数据,有了数据才可以进行sql注入攻击,我们在自己安装的网站里新增加了许多招聘的岗位, 关于骑士CMS网站漏洞的修复办法,目前官方还没有公布最新的补丁,建议大家在服务器前端部署SQL注入防护,对GET、POST、COOKIES、的提交方式进行拦截,也可以对网站的后台目录进行更改,后台的文件夹名改的复杂一些
3.5K40发布于 2019-07-24 - 来自专栏For XX - 专注于技术本身
log4j2漏洞原理及修复方案
在Java技术栈中,用的比较多的日志输出框架主要是log4j2和logback,ApacheLog4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。 相信大家这两天应该被这么一条新闻刷屏了:Log4j爆核弹级漏洞,Flink、Kafka、ES等多个开源项目及多个上市公司项目受到影响 这个漏洞到底是怎么回事? 漏洞原理 假如某一个Java程序中,将浏览器的类型记录到了日志中: String userAgent = request.getHeader("User-Agent"); logger.info(userAgent 影响规模 这一次漏洞的影响面之所以如此之大,主要还是log4j2的使用面实在是太广了。 修复方案 目前新版的log4j2已经修复了这个问题,将版本升级到2.16.0即可 参考文章:https://mp.weixin.qq.com/s/GjpniNP4kMK8yCdZ2IG5pw
2.6K20编辑于 2022-06-10 - 来自专栏网站漏洞修补
网站漏洞怎么修复代码漏洞
jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。 jeecms 网站漏洞分析 jeecms漏洞发生的原因是在于网站的上传功能,存在可以绕过安全拦截,直接将jsp格式的网站木马文件上传到服务器中去,由于该上传组件含有远程调用图片链接的功能,导致调用的是并没有做详细的安全过滤 我们来看下代码: 当我们使用远程调用图片功能的时候,会使用前端的upfile函数去调用,然后经过separate的安全分隔符来进行确认文件的格式,导致没有任何的安全验证就可以上传文件,导致网站漏洞的发生 jeecms 网站漏洞修复与建议 目前通过搜索查询到使用jeecms的网站达到上万个,使用该jeecms建站的网站运营者,请尽快升级网站系统到最新版V9版本,自己公司技术有限的,请将远程上传图片功能去掉
4.4K20发布于 2019-04-19 - 来自专栏网站漏洞修补
怎么修复网站漏洞 骑士cms的漏洞修复方案
骑士CMS是国内公司开发的一套开源人才网站系统,使用PHP语言开发以及mysql数据库的架构,2019年1月份被某安全组织检测出漏洞,目前最新版本4.2存在高危网站漏洞,通杀SQL注入漏洞,利用该网站漏洞可以获取网站的管理员账号密码以及用户账号信息 目前很多人才网站都使用的骑士CMS系统,受影响的网站较多,关于该网站漏洞的详情我们来详细的分析一下。 骑士cms4.2最新版本使用了thinkphp的架构,底层的核心基础代码都是基于thinkphp的开发代码,有些低于4.2版本的网站系统都会受到漏洞的攻击。 然后我们进行安装,调试,使其本地127.0.0.1可以打开网站进行漏洞的测试,该漏洞的利用条件是要网站拥有一些招聘的数据,有了数据才可以进行sql注入攻击,我们在自己安装的网站里新增加了许多招聘的岗位, 关于骑士CMS网站漏洞的修复办法,目前官方还没有公布最新的补丁,建议大家在服务器前端部署SQL注入防护,对GET、POST、COOKIES、的提交方式进行拦截,也可以对网站的后台目录进行更改,后台的文件夹名改的复杂一些
3.6K40发布于 2019-01-03 - 来自专栏我的博客
Bash严重漏洞修复
检测:env x='() { :;}; echo vulnerable’ bash -c “echo this is a test” UBuntu修复: apt-get update apt-get install bash 修复之后: env x='() { :;}; echo vulnerable’ bash -c “echo this is a test” bash: warning: x: ignoring
2.2K50发布于 2018-05-08
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号