最新消息!根据Log4j官网发布,2.17.0版本还存在漏洞! 上图来自Log4j2官网:https://logging.apache.org/log4j/2.x/ 漏洞编号:CVE-2021-44832 漏洞内容:Log4j2提供的JDBCAppender功能,将日志信息写入数据库中,这个过程需要JNDI的支持,故攻击者可以利用此来执行任意代码. 危害等级:中 影响范围:2.17.0及以下版本(不包含2.12.4.2.3.2) 修复措施:升级Log4j2的版本 Java 8或之后用户升级到最新…

2014年是IT业界不平常的一年,XP停服.IE长老漏洞(秘狐)等等层出不穷,现在,社交网络也爆出惊天漏洞:Oauth2.0协议漏洞 继OpenSSL漏洞后,开源安全软件再曝安全漏洞.新加坡南洋理工大学研究人员Wang Jing发现,Oauth2.0授权接口的网站存“隐蔽重定向”漏洞,黑客可利用该漏洞给钓鱼网站“变装”,用知名大型网站链接引诱用户登录钓鱼网站,一旦用户访问钓鱼网站并成功登陆授权,黑客即可读取其在网站上存储的私密信息.据悉,腾讯QQ.新浪微博.Facebook.Google等国内外…

1 事件背景 经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本.大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世. 相信各位小伙伴都在加班加点熬夜紧急修复和改正Apache Log4j爆出的安全漏洞,各企业都瑟瑟发抖,连网警都通知各位站长,包括我也收到了湖南长沙高新区网警…

本周七个关键词:Python库现后门丨Facebook再曝数据泄露丨加密协议被曝严重漏洞丨英国报摊将出售"色情通行证"丨HTTPS的绿色锁图标丨机器学习和预测应用的API丨Eclipse Che 6.5.0 -1-   [python]Python库现后门 可窃取用户SSH信息 来源:嘶吼 ------------------------------------------------------ 以色列开发者Uri Goren开发的处理SSH连接的Python模块存在后门.本周一,另…

AMD霄龙安全加密虚拟化曝漏洞:已修复 https://www.cnbeta.com/articles/tech/862611.htm 硬件的安全问题 今年初,Google的一位研究人员发现,AMD EPYC霄龙处理器内的安全加密虚拟化(SEV)中存在安全漏洞,能让攻击者获取安全密钥,进而访问原本被隔离的虚拟机.霄龙处理器的SEV功能可以让一个系统上的多个虚拟机彼此完全隔离,同时使用椭圆曲线算法,从硬件层面生成不同的加密密钥,确保每一个虚拟机都有自己独立的安全保护. 访问购买页面: AMD旗舰店…

本以为,经过上周的2.16.0版本升级,Log4j2的漏洞修复工作,大家基本都要告一段落了. 万万没想到,就在周末,Log4j官方又发布了新版本:2.17.0 该版本主要修复安全漏洞:CVE-2021-45105 影响版本:2.0-alpha1 至 2.16.0(1.x用户继续忽略) 该漏洞只有当日志配置使用带有Context Lookups的非默认 Pattern Layout(例如$${ctx:loginId})时,攻击者可以通过构造包含递归查找的恶意输入数据,触发无限循环,导致 Stack…

先说一句,这傻x洞能给cve就离谱,大半夜给人喊起来浪费时间看了一个小时. 先说利用条件: 需要加载"特定"的配置文件信息,或者说实际利用中需要能够修改配置文件(你都能替换配置文件了,还要啥log4j啊). 然后因为log4j2.17.0已经实际上默认关闭了jndi的使用,还需要对方真的手动打开这个配置才能执行. 实际上约等于本地弹弹计算器的漏洞. 真的能随便改配置文件,我估计大佬们洒洒水,几十个RCE没啥问题. 代码直接用了发现者给的: 原文链接 import java.util.*…

原文:Android菜鸟的成长笔记(17)-- 再看Android中的Unbounded Service 前面已经写过关于startService(Unbounded Service)的一篇文章:<Android菜鸟的成长笔记(16)--Service简介>本篇将在这一篇的基础上再来看一下startService的用法.先看一段代码: TestService.java package com.example.myfirstapp; import android.app.Service; imp…

对于错误error (209053): unexpected error in jtag server -- error code 89,它产生的原因在于,在linux系统下,Quartus ii的驱动USB-Blaster只能有root用户使用,而普通用户是无权使用的.解决思路是更改USB-Blaster的使用权限,使得普通用户也能使用.对此altera也有给出相应的解决方案,详细见USB-Blaster Driver for Linux. 为使大家更易在linux下操作,现将具体的步骤介绍如…

因为觉得openwrt的18的配置检查功能很费时,特别是遇到ar93xx慢的真可以,所以决定从18.0.1降回到17.0.6上 先把18.0.1的配置backup出来,然后刷17.0.6,再把backup导入回去,结果路由器能起来,但就是LAN无法上网,各种检查后发现原来18导出来的文件中/etc/sysctl.conf里面是空的,需要手工在17.0.6上补回去: kernel.panic=3 kernel.core_pattern=/tmp/%e.%t.%p.%s.core net.ipv4.…