其他
Logback 也炸了。。。
编辑:乐乐 | 来自:mp.weixin.qq.com/s/Dj7jLj_PqdosuKVtb-bkNQ
上一篇:知名国产论坛,凉了!!!!
大家好,我是Python人工智能技术
Log4j2安全漏洞方面就不多写了,目前Log4j2漏洞安全整改的思路,是把存在漏洞的版本,升级至官方2.17正式版。
然后,上周有朋友把Log4j2又替换成Logback。这位朋友算是提供了另外一种对Log4j2漏洞安全整改的思路。不管最终对Logback安全性验证测试结果如何,能够提出新的安全整改思路,是值得点赞。
我们对Logback做安全性验证方面的相关测试。由于有些单位还在使用Logback,为了不造成影响,此处就不能再往深写了,还请谅解。
但最终测试结果是:Logback一样中招。
存在漏洞的主要原因
有些单位还在使用Logback,为了不造成影响,此处就不能再往深写了,还请谅解。
相关的图片在网上能搜到,如需要请自行搜索。
安全整改建议
2、版本升级不像打补丁那么简单,涉及到很多方方面面,需要有软件开发单位和网络安全服务单位的通力配合。
3、虽然版本升级需要消耗大量的时间、精力、人力,但建议能升级还是尽量升级吧。不要把希望都放到某些网络安全产品上,因为某些产品自身就有漏洞,自己都保不了自己,又如何能保你?
4、再次强调一点,在版本升级的时候,需要同步升级JDK。
5、安全整改前,建议搭建测试环境,做好相关的测试工作,没有问题在正式环境做安全整改工作。
6、我们做安全整改后的复查工作,发现某些已经“做完安全整改”的系统,漏洞居然还可以利用。原因是出在做安全整改的技术团队,可能不是太懂,只是照着网上搜到某些文章“照葫芦画瓢”做得“安全整改工作”。
7、如果条件允许,建议聘请具备较强实战攻防能力的专业网络安全服务商,协助做网络安全整改工作。安全整改后做漏洞复查工作,要以实战攻防方式来验证整改效果。
8、如果不会做安全排查、安全整改工作,不清楚是否已经被黑客攻击,可以和我们联系。
你还有什么想要补充的吗?
免责声明:本文内容来源于网络,文章版权归原作者所有,意在传播相关技术知识&行业趋势,供大家学习交流,若涉及作品版权问题,请联系删除或授权事宜。
技术君个人微信
添加技术君个人微信即送一份惊喜大礼包
→ 技术资料共享
→ 技术交流社群
--END--
往日热文:
Python程序员深度学习的“四大名著”:
这四本书着实很不错!我们都知道现在机器学习、深度学习的资料太多了,面对海量资源,往往陷入到“无从下手”的困惑出境。而且并非所有的书籍都是优质资源,浪费大量的时间是得不偿失的。给大家推荐这几本好书并做简单介绍。
获得方式: