39
4
CFSDN nhấn mạnh vào giá trị tạo ra nguồn mở và chúng tôi cam kết xây dựng nền tảng chia sẻ tài nguyên để mọi nhân viên CNTT có thể tìm thấy thế giới tuyệt vời của bạn tại đây.
Bài đăng trên blog CFSDN này cảnh báo! Các lỗ hổng Java tương tự như Log4Shell đã xuất hiện và được tác giả sưu tầm, biên soạn. Nếu bạn quan tâm tới bài viết này thì nhớ like nhé.
Các nhà nghiên cứu bảo mật đang cảnh báo về một lỗi Java nghiêm trọng mới có bản chất giống với lỗ hổng Log4Shell khét tiếng hiện đang bị khai thác trên toàn thế giới.
CVE-2021-42392 chưa được công bố chính thức trong Cơ sở dữ liệu dễ bị tổn thương quốc gia (NVD), nhưng theo JFrog trong doanh nghiệp phần mềm, nó ảnh hưởng đến bảng điều khiển của cơ sở dữ liệu H2 Java SQL phổ biến.
Công ty bảo mật nhắc nhở bất kỳ tổ chức nào hiện đang chạy bảng điều khiển H2 tiếp xúc với mạng LAN hoặc WAN của họ phải cập nhật ngay cơ sở dữ liệu của họ lên phiên bản 2.0.206, nếu không nó có thể bị kẻ tấn công khai thác để thực thi mã từ xa không được xác thực (RCE).
Giống như Log4Shell, lỗi này liên quan đến JNDI (Giao diện thư mục và đặt tên Java) "tải lớp từ xa". JNDI là một API cung cấp chức năng đặt tên và thư mục cho các ứng dụng Java. Điều này có nghĩa là nếu kẻ tấn công có thể đưa một URL độc hại vào tra cứu JNDI, thì nó có thể kích hoạt RCE.
"Nói tóm lại, nguyên nhân cốt lõi tương tự như Log4Shell - nhiều đường dẫn mã trong khung cơ sở dữ liệu H2 chuyển các URL do kẻ tấn công kiểm soát chưa được kiểm soát tới hàm javax.naming.Context.lookup, cho phép tải các thư viện mã từ xa (AKA Java Code Tiêm) Thực thi mã từ xa AKA)", JFrog giải thích.
"Cụ thể, phương thức org.h2.util.JdbcUtils.getConnection lấy tên lớp trình điều khiển và URL cơ sở dữ liệu làm tham số. Nếu lớp của trình điều khiển có thể được gán cho lớp javax.naming.Context, thì phương thức này sẽ khởi tạo một đối tượng từ nó và gọi Làm sao tìm được."
Việc cung cấp lớp trình điều khiển như "javax.naming.InitialContext" và một URL đơn giản như ldap://Attacker.com/Exploit sẽ dẫn đến việc thực thi mã từ xa.
JFrog cho biết lỗ hổng này đặc biệt nguy hiểm vì gói cơ sở dữ liệu H2 đặc biệt phổ biến. Công ty tuyên bố rằng đây là một trong 50 gói Maven phổ biến nhất, với gần 7.000 phụ thuộc tạo tác.
Tuy nhiên, có một số lý do khiến việc khai thác sẽ không phổ biến như Log4Shell. Thứ nhất, nó có "phạm vi tiếp cận trực tiếp", nghĩa là các máy chủ dễ bị tấn công sẽ dễ dàng tìm thấy hơn. Thứ hai, trong hầu hết các bản phân phối H2, bảng điều khiển chỉ lắng nghe các kết nối localhost, có nghĩa là cài đặt mặc định không thể khai thác được.
"Nhiều nhà cung cấp có thể đang chạy cơ sở dữ liệu H2 chứ không phải bảng điều khiển H2. Mặc dù có các vectơ khác ngoài bảng điều khiển có thể khai thác vấn đề này, nhưng các vectơ khác này phụ thuộc vào ngữ cảnh và khó có khả năng bị kẻ tấn công từ xa tiếp xúc." JFrog nói thêm.
Liên kết gốc: https://t.cj.sina.com.cn/articles/view/5095232218/12fb312da019012a18.
Bài viết cuối cùng này là về cảnh báo! Đó là bài viết về sự xuất hiện của các lỗ hổng Java tương tự như Log4Shell, nếu bạn muốn biết thêm về các cảnh báo! Để biết thông tin về các lỗ hổng Java tương tự như Log4Shell, vui lòng tìm kiếm các bài viết về CFSDN hoặc tiếp tục duyệt các bài viết liên quan. Tôi hy vọng bạn sẽ ủng hộ blog của tôi trong tương lai! .
39
4
0
Tôi gặp phải một vấn đề khiến tôi thực sự bối rối. Nhưng bây giờ có vẻ như đây là một vấn đề phổ biến và tôi ngạc nhiên là tôi không thể tìm thấy câu hỏi nào khác về nó. Về cơ bản, tôi có một số biểu tượng xuất hiện trên trang web của mình. Tôi muốn chúng xuất hiện có cùng kích thước trên mọi thiết bị - gần như có thể chạm được
Tôi là một chuyên gia Java. Bây giờ tôi muốn chuyển sang các ngôn ngữ lập trình khác. Ai đó có thể gợi ý cho tôi ngôn ngữ lập trình nào dễ hiểu hơn và có khả năng phát triển web không. Tôi quan tâm đến việc phát triển web. Câu trả lời hay nhất C# - phát triển web thật tuyệt vời (chỉ cần nhìn vào đây
Tôi cần gửi các phản hồi khác nhau cho các url khác nhau. Nhưng biểu thức chính quy tôi đang sử dụng không hoạt động. Hai biểu thức chính quy được đề cập là "/v1/users/[^/]+/permissions/domain/HTTP/" (ví dụ:
Hãy để tôi mô tả vấn đề của tôi. Có một chuỗi đầu vào và một bảng chứa hàng nghìn chuỗi. Tôi đang tìm cách tốt nhất để tìm kiếm một chuỗi giống nhất* với chuỗi đầu vào. Tìm kiếm sẽ trả về danh sách ~ 10 chuỗi được đề xuất, được sắp xếp theo mức độ tương tự. chuỗi trong cơ sở dữ liệu
Tôi gặp sự cố khi sử dụng crypt(), nếu người dùng có mật khẩu (trong trường hợp này là mật khẩu1) và họ đổi nó thành mật khẩu2, hàm băm sẽ trả về kết quả tương tự. Bạn có thể kiểm tra tại đây: link cũ nhập mật khẩu
Tôi hỏi điều này vì tôi thấy XML không hấp dẫn về mặt trực quan. Tôi biết rằng XML rất nổi tiếng, rất hữu ích và được hầu hết (nếu không phải tất cả) các lập trình viên chấp nhận như một ngôn ngữ rất hữu ích để xác định và cấu trúc dữ liệu, tuy nhiên, tôi thực sự không cảm thấy thoải mái khi nhìn chằm chằm vào nó; nó nó hoặc
Tôi có công việc cần phải hoàn thành trong vòng 14 ngày. Tôi có 5 công nhân. Mỗi ngày cần chính xác 3 công nhân. Mỗi công nhân chỉ được làm việc tối đa 9 ngày. Mỗi công nhân có tùy chọn ngày riêng và mỗi công nhân
Một đối tượng thuộc loại FileStream hoặc trình điều khiển DB phải được đóng đúng cách vì nó sử dụng các trình điều khiển Windows bên trong. Tương tự như vậy, Threads cũng sử dụng tay cầm Windows phải không? Chủ đề có một số cơ chế nội bộ để phát hành các Windows đó không?
Xin hãy tha thứ cho tôi nếu điều này là rất cơ bản. Tôi đã cố gắng lặp qua từng ô trong một mảng hàng bao gồm cả ô tiêu đề. Tôi có thể sử dụng toán tử OR với bộ chọn CSS Nokogiri không? thang= Nokogiri::HTML(IO.r
Theo mặc định, RichTextFx (điều khiển trên cùng) không giống TextArea (điều khiển dưới cùng): Tôi đã tìm ra cách thêm các góc tròn (chỉ cần sao chép từ modena.css và định cấu hình một số kiểu): .virtua
Trong Java 64 bit, mỗi phiên bản đối tượng thường chứa tiêu đề 192 bit, bao gồm các con trỏ lớp, cờ và khóa (mỗi phiên bản 64 bit). Điều này có thể gây ra chi phí bộ nhớ đáng kể cho các đối tượng nhỏ. Tình hình có tương tự ở Nimes không? bằng hai ngôn ngữ
Tôi đang phát triển một ứng dụng có nhiều chức năng (được chọn qua chế độ xem bảng), tất cả đều thực hiện điều tương tự, bố cục tương tự, các nút tương tự, trường nhập tương tự, v.v. Nhưng có đủ các tầng lớp riêng biệt mà tôi tin rằng chúng có tầng lớp riêng. Mọi
Địa chỉ câu hỏi: https://leetcode-cn.com/problems/similar-rgb-color/ Mô tả câu hỏiTrong phần sau, mỗi chữ cái viết hoa
Tôi đang viết mã R và tôi muốn nó chạy ở chế độ "không gỡ lỗi" hoặc "gỡ lỗi". Ở chế độ Gỡ lỗi, tôi muốn mã in ra thông tin thời gian chạy. Trong các ngôn ngữ khác, tôi thường có một số loại chức năng in không hoạt động trừ khi cờ được bật (để biên dịch hoặc thời gian chạy)
Tôi không hiểu một phần câu trả lời được chấp nhận của OP này: Phạm vi và nâng cấp hàm Javascript Tác giả nói: "Ngoài ra, trong trường hợp này, hàm a() {} hoạt động giống như
Tôi đang thực hiện bcmp(&v6_addr1,&v6_addr2,sizeof(v6_addr1)) (gdb) p v6_addr2 $15 = {u = {b = "0\001", '\000' ,
Tôi có một Canvas chứa đầy các nút có ID mà tôi lưu trữ trong từ điển. Canvas dài và có thanh cuộn dọc. Có cách nào để tự động định vị Chế độ xem trên một nút nhất định không? Khi sử dụng Văn bản, txt.see(pos
Tôi đang cố gắng tính toán độ tương tự (đọc: khoảng cách Levenshtein) của hai hình ảnh bằng Python 2.6 và PIL. Tôi dự định cung cấp cho chúng tôi thư viện python-levenshtein để so sánh nhanh. Câu hỏi chính: Cái gì
Nói cách khác, php $object->method(); và $object->property = 'someValue'; tương đương với, js: $object.method();
Tôi đã viết một hàm đơn giản chứa thứ gì đó thực hiện .index() và một danh sách các ký tự cần kiểm tra. Giả thuyết của tôi là vì chuỗi và bộ dữ liệu đều không thay đổi nên chúng có hiệu suất tương tự nhau (hoặc ít nhất, bộ dữ liệu hoạt động tốt hơn danh sách). Thay vào đó, các bộ dữ liệu dường như tương đương với các cột
Trung tâm cá nhân
Điều phát hành
từ bỏ
Tôi là một lập trình viên xuất sắc, rất giỏi!