Apache全系曝拒绝服务漏洞

感谢Documentary Wikipedia的投递. Apache 项目日前发布了一个拒绝服务(DoS)漏洞警告，该漏洞可让攻击者轻松的让 Apache 软件拒绝服务，该漏洞影响 Apache 的所有版本. 而且坊间已经流传着这样的攻击工具，该攻击可使 Apache Http Server 占用大多数的内存和 CPU，从而导致无法处理正常的请求.

Apache Tomcat 6.0.35前有信息泄露相关的一个漏洞（CVE-2011-3375），. 以及另一个在此前广受关注的哈希碰撞引发拒绝服务（DoS）漏洞（CVE-2012-0022），. Apache 建议用户对 Tomcat 进行升级从而规避此漏洞. 一.安装Oracle JRockit.

Apache发出警告，Apache HTTPD Web Server中发现拒绝服务漏洞，受影响的版本包括Apache 1.3分支和Apache 2分支的所有版本. Apache表示将在未来48小时内发布补丁. 名叫Apache Killer的攻击工具上周五发布在Full Disclosure邮件列表.

这篇文章将从一个Apache tika服务器的命令注入漏洞到完全利用的步骤. CVE是 https://nvd.nist.gov/vuln/detail/CVE-2018-1335. 由于Apache Tika是开源的，我能够通过分析Apache Tika代码来确定问题. 虽然命令注入漏洞通常很简单，但要实现完整的远程代码或命令执行需要克服一些障碍.

发布时间: 2012-11-05 (GMT+0800). Apache Tomcat是一个流行的开放源码的JSP应用服务器程序. Apache Tomcat 7.0.0-7.0.27、6.0.0-6.0.35、5.5.0-5.5.35存在多个安全漏洞，成功利用后可允许攻击者绕过安全限制并执行非法操作.

开源WEB容器–Apache+Tomcat老版本很容易受到远程代码执行的攻击. Mark Thomas，一位长期致力于Apache+Tomcat的工作者称. “在某种情况下，用户可以上传恶意JSP文件到Tomcat服务器上运行，然后执行命令. JSP的后门可以用来在服务器上任意执行命令. Thomas 今日发出警告称，Tomcat版本7.0.0和7.3.9在发布补丁之前是脆弱的.

Apache Log4j 2.17.0 版本已正式 发布，解决了被发现的第三个安全漏洞 CVE-2021-45105. Apache Log4j2 版本 2.0-alpha1 到 2.16.0 没有防止 self-referential 查找的不受控制的递归. 当日志配置使用非默认的 Pattern Layout 与 Context Lookup（例如，$${ctx:loginId}）时，控制线程上下文映射 (MDC) 输入数据的攻击者可以制作包含递归查找的恶意输入数据，导致 StackOverflowError，从而终止进程.

12月9日，绿盟科技CERT监测到网上披露Apache Log4j2 远程代码执行漏洞，由于Apache Log4j2某些功能存在递归解析功能，未经身份验证的攻击者通过发送特别构造的数据请求包，可在目标服务器上执行任意代码. 漏洞PoC已在网上公开，默认配置即可进行利用，该漏洞影响范围极广，建议相关用户尽快采取措施进行排查与防护.

什么是Apache Shiro?. Apache shiro 是一个强大而灵活的开源安全框架，可清晰地处理身份认证、授权、会话（session）和加密. Apache Shiro最主要的初衷是为了易用和易理解，处理安全问题可能非常复杂甚至非常痛苦，但并非一定要如此. 一个框架应该尽可能地将复杂的问题隐藏起来，提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码.

Derby Type System (Note: if your browser shows HTML source for this page instead of displaying it, save the file locally with . It will prompt you to click on "Grant license to ASF for inclusion in ASF works", and this is the permission we need in place to host your contribution on the Derby web site..