WSO2IS:Log4j 1.2安全漏洞
WSO2IS 5.8包括Log4j 1.2。17
已针对Log4j 1识别出一个安全漏洞CVE-2019-17571。Log4j包括一个SocketServer,它接受序列化的日志事件并反序列化它们,而不验证是否允许对象。这可以提供可以被导出的攻击向量。
有人知道是否可以在WSO2IS 5.8的上下文中利用此漏洞?
提前谢谢!
共有1个答案
WSO2经常在发现问题时发布安全补丁。你能写信给我吗security@wso2.com检查一下。
此外,作为安全最佳实践,我们建议使用security@wso2.com随时报告安全问题——这是所有开源项目都遵循的一种常见做法。
更新:即使WSO2身份服务器5.8.0有此依赖项,它也不使用SocketServer提供的任何功能。因此,任何使用5.8.0版本的人都不会受到影响。此外,自IS 5.9.0以来,此依赖项已升级到Log4j 2。
详情如下:https://wso2.com/security
-
典型的安全漏洞 Web 典型的安全漏洞种类很多,如 XSS, CSRF, SQL注入,Cross IFrame Trick, clickJacking, 文件上传 等等。下面列举两种客户端常见的安全漏洞。 XSS XSS (Cross Site Scripting),跨站脚本攻击。为了和层叠样式表(Cascading Style Sheets,CSS)区分开,跨站脚本在安全领域叫做 XSS。攻击者
-
Fortify安全审查告诉我们一些路径操作漏洞。大多数都是显而易见的简单解决方案,但我不明白如何解决以下问题。 "wsdlPath"是从文本框中输入的。这是无法解决的问题吗?我可以验证路径是否存在,等等,但是这对漏洞有什么帮助呢?
-
常见的安全漏洞 在构建 PWA 站点的过程中,我们会面临很多的安全风险和漏洞,如 XSS,CSRF,SQL 注入漏洞,ClickJacking,文件上传漏洞 等等。在本小节中,我们列举几种客户端常见的安全漏洞,了解一下其原理和防范方法。 跨站脚本(XSS) XSS (Cross Site Scripting) 即跨站脚本攻击。为了和层叠样式表(Cascading Style Sheets,CSS)
-
我有网站运行在node.js&express服务器上。我了解到该网站存在以下漏洞。 远程攻击者可以发送巧尽心思构建的HTTP请求,并强制其针对某些流量边缘模式对错误连接进行日志记录语句。这会导致并发使用内存池进行单独的连接,并引发影响。 利用HTTP报头的间隔会在服务器进程中造成溢出,从而覆盖堆栈的一部分,通过覆盖下一个操作的字节来倒回请求处理。 一旦对暴露的endpoint进行相应的精心编制;环
-
我最近在Log4J中读到了关于0天问题的文章。我使用了一些应用程序,这些应用程序是用。NET的日志库,它使用基于Log4j的log4net日志库。 log4net是否存在与log4j的CVE-2021-44228漏洞类似的安全漏洞?
-
运行静态扫描时,我收到一个Veracode错误:操作系统命令(“操作系统命令注入”)中使用的特殊元素的中和不当(CWE ID 78) 应用程序调用一个进程,其中包含我从前端收到的参数(应用程序在内部使用,这是一个userId)。 我如何解决这个Veracode问题?有没有“安全”的方式来运行流程?