8827太阳集团

首页 > 技术支持 > 升级布告 > 每周升级布告

每周升级布告-2023-03-07

颁布功夫 2023-03-07

新增事务

事务名称：	HTTP_缝隙利用_权限绕过_Apache_Shiro_v1.5.3以下[CVE-2020-11989][CNNVD-202006-1556]
安全类型：	安全缝隙
事务描述：	ApacheShiro是一个壮大且易用的Java安全框架，，，，，它能够用来执行身份验证、授权、密码和会话治理。。。。。。。。目前常见集成于各类利用中进行身份验证，，，，，授权等。。。。。。。。对于ApacheShiro1.5.3之前的版本，，，，，当将ApacheShiro与Spring节造器一路使用时，，，，，攻击者特造要求可能会导致身份验证绕过。。。。。。。。
更新功夫：	20230307

批改事务

事务名称：	HTTP_缝隙利用_代码执行_Apache_Log4j2_jndi注入嵌套lookup绕过[CVE-2021-44228]
安全类型：	安全缝隙
事务描述：	ApacheLog4j2是一个用于Java的日志纪录库，，，，，其支吃祠动远程日志服务器。。。。。。。。此事务代表发现了源IP主机发送了满足log4j2组件支持的内置lookup体式的字符串，，，，，当主张IP主机后端接管到此体式的字符串时，，，，，会自动挪用lookup职能。。。。。。。。此事务检测的是“嵌套”使用lookup记号的行为，，，，，此行为拥有较高风险，，，，，容易被攻击者滥用，，，，，如绕过WAF检测，，，，，并进行非预期的jndi挪用，，，，，从而执行恶意代码或号令。。。。。。。。log4j22.15.0-RC1之后的版本默认关关了使用此手法挪用jndi挪用的职能，，，，，并限度了白名单，，，，，故使用未经限度的老版本log4j2组件可能会存在jndi注入的风险。。。。。。。。
更新功夫：	20230307

事务名称：	TCP_缝隙利用_代码执行_Apache_Log4j2_jndi注入嵌套lookup绕过[CVE-2021-44228]
安全类型：	安全缝隙
事务描述：	ApacheLog4j是一个用于Java的日志纪录库，，，，，其支吃祠动远程日志服务器。。。。。。。。此事务代表发现了源IP主机发送了满足内置lookup体式的字符串，，，，，当主张IP主机后端接管到此体式的字符串时，，，，，会自动挪用lookup职能。。。。。。。。此事务检测的是“嵌套”使用lookup记号的行为，，，，，此行为拥有肯定风险，，，，，可能会被攻击者滥用，，，，，如绕过WAF检测，，，，，并进行非预期的jndi挪用。。。。。。。。
更新功夫：	20230307

上一篇下一篇

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】