logging-log4j2-log4j-2.15.0-rc2、logging-log4j2-log4j-2.15.1-rc1、logging-log4j2-log4j-2.16.0-rc1、logging-log4j2-log4j-2.15.0-rc1 包

Apache Log4j2 远程代码执行漏洞修复 由于官网没有打包编译版本，up主已经帮你打包好了最新的jar 版本，虽然 显示是2.15.0,实际上已经修复了，请大家试用。 漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为2.0 <= Apache log4j2 <= 2.14.1，只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用，极大可能会受到影响。

log4j-api-2.15.0.jar log4j-core-2.15.0.jar log4j-jcl-2.15.0.jar

自我整理的文档，亲测有效。 非maven老项目更新以下jar文件 log4j-api-2.15.0.jar log4j-core-2.15.0.jar log4j-jul-2.15.0.jar log4j-slf4j-impl-2.15.0.jar

log4j 漏洞修复 jar

一. 账号口令 1.1 检查设备密码复杂度策略（高危） 1.2 检查口令最小长度（高危） 1.3 检查是否设置口令更改最小间隔天数（高危） 1.4 检查是否设置口令生存周期（高危） 1.5 检查是否设置口令过期前警告天数（高危） 1.6 检查是否存在空口令账号（高危） 1.7 检查是否设置除root之外UID为0的用户（中危） 二. 认证授权 2.1 检查用户目录缺省访问权限设置（高危） 2.2 检查用户umask设置（中危） 2.3 检查重要文件属性设置（中危） 2.4 检查重要目录或文件权限设置（中危） 2.5 检查是否设置ssh登录前警告Banner（低危） 三. 日志审计 3.1 检查是否对登录进行日志记录（高危） 3.2 检查是否启用cron行为日志功能（低危） 3.3 检查是否配置su命令使用情况记录（低危） 3.4 检查日志文件是否非全局可写（低危） 3.5 检查安全事件日志配置（低危） 3.6 检查是否记录用户对设备的操作（低危） 3.7 检查是否配置远程日志功能（低危） 四. 协议安全 4.1 检查是否禁止root用户远程登录（高危） 4.2 检查是否禁止匿名用户登录FTP（高危） 4.3 检查使用IP协议远程维护的设备是否配置SSH协议，禁用telnet协议（高危） 4.4 检查是否修改snmp默认团体字（中危） 4.5 检查系统openssh安全配置（中危） 4.6 检查是否禁止root用户登录FTP（中危） 五. 其他安全 5.1 检查是否使用PAM认证模块禁止wheel组之外的用户su为root（高危） 5.2 检查是否设置命令行界面超时退出（高危） 5.3 检查是否关闭不必要的服务和端口（高危） 5.4 检查是否关闭系统信任机制（高危） 5.5 检查是否删除了潜在危险文件（高危） 5.6 检查系统core dump设置（中危） 5.7 检查root用户的path环境变量（中危） 5.8 检查系统是否禁用ctrl+alt+del组合键（中危） 5.9 检查密码重复使用次数限制（中危） 5.10 检查是否配置用户所需最小权限（中危） 5.11 检查系统内核参数配置（中危） 5.12 检查FTP用户上传的文件所具有的权限（低危） 5.13 检查/usr/bin/目录下可执行文件的拥有者属性（低危） 5.14 检查是否按用户分配账号（低危） 5.15 检查历史命令设置（低危） 5.16 检查系统磁盘分区使用率（低危） 5.17 检查日志文件权限设置（低危） 5.18 检查是否设置系统引导管理器密码（低危） 5.19 检查是否限制FTP用户登录后能访问的目录（低危） 5.20 检查是否设置ssh成功登录后Banner（低危） 5.21 检查是否使用NTP（网络时间协议）保持时间同步（低危） 5.22 检查是否关闭IP伪装和绑定多IP功能（低危） 5.23 检查是否限制远程登录IP范围（低危） 5.24 检查NFS（网络文件系统）服务配置（低危） 5.25 检查拥有suid和sgid权限的文件（低危） 5.26 检查是否配置定时自动屏幕锁定（适用于具备图形界面的设备）（低危） 5.27 检查是否安装chkrootkit进行系统监测（低危） 5.28 检查是否对系统账号进行登录限制（低危） 5.29 检查是否禁用不必要的系统服务（低危） 5.30 检查别名文件/etc/aliase（或/etc/mail/aliases）配置（低危） 5.31 检查账户认证失败次数限制（低危） 5.32 检查telnet Banner 设置（低危） 5.33 检查FTP Banner设置（低危） 5.34 检查是否关闭数据包转发功能（适用于不做路由功能的系统）（低危） 5.35 检查是否安装OS补丁（低危） 5.36 检查是否按组进行账号管理（低危） 5.37 检查是否删除与设备运行、维护等工作无关的账号（低危）

主要给大家介绍了关于IIS短文件名漏洞复现的相关资料，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面来一起学习学习吧

服务器及nginx常见漏洞修复

计算机网络安全相关

安装步骤如下： 1、解压补丁包，将全部文件以二进制的形式上传至网站根目录； 2、输入网站，执行安装过程； 你可能会遇到的问题: 1、如何使用FTP工具二进制上传; 2、与中心有关的应用无法使用，如支付方式、开店向导. 请确认你的网店所在空间可以访问shopex服务器，会自动生成证书。如果不能自动生成证书，请先设置服务器，正常后再更新补丁。 3、更新补丁后，某些功能不能使用. 可能的原因是网站中有二次开发的内容，请先停止二次开发的功能，功能一般会正常。 注意：老版本升级上来的店铺，需检查并开通服务器 curl组件和 Mcrypt加密库