DM-DEM修补Log4j2远程代码执行漏洞

最新推荐文章于 2024-07-07 18:56:57 发布
最新推荐文章于 2024-07-07 18:56:57 发布
阅读量2.2k 收藏
点赞数 1
分类专栏: DEM DM数据库 文章标签: jar 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suyishuai/article/details/121901331
版权

1.漏洞描述

ApacheLog4j2远程代码执行漏洞,由于ApacheLog4j2某些功能存在递归解析功能,攻击者可利用该漏洞直接构造恶意请求,触发远程代码执行,Log4j2漏洞版本范围:ApacheLog4j2.*,<=2.14.1

2.达梦DEM升级方式

升级替换DEM及dmagent部署目录中的Log4j2组件(log4j-api-2.xxx.jar/log4j-core-2.xxx.jar)至2.15.0,Log4j2官网下载地址:https://logging.apache.org/log4j/2.x/download.html。

我们下载bin包就行,里面全是jar。目前官方已经升级到2.17。

3.dem服务端升级方法

dem的目录一般都在webapp/dem/WEB-INF/lib下面

替换2个jar旧可以,使用新版本的 log4j-core-2.17.0.jar 和  log4j-api-2.17.0.jar

下面截图有点旧,使用的是2.15版本,实际更换时,用最新版本。

4.dmagent升级方法

 dmagent的路径一般都在dmagent/lib下面替换即可

下面截图有点旧,使用的是2.15版本,实际更换时,用最新版本。

 替换后启动dem服务端 和 dmagent 客户端即可(dmagent用root启动的),目前为止,没有看到任何错误。jar小版本的替换,一般没有风险。

suyishuai
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SRTM-dem文件修复器
08-11
SRTMFill.zip,SRTM文件修复器,SRTM文件修复器,SRTM文件修复器,SRTM文件修复器,SRTM文件修复器
arcgis修补DEM水面(将DEM无效的水面设置成统计的高程,即水面拉平)
u010202270的博客
10-23 3120
整体思路: 因航飞,大面积水域可能会匹配不成功,造成部分水面空洞,影响美观,也不利于整体应用。 原始数据包括:DEM的tif成果。 修补的整体思路将空洞区域人为的画一个shp面,然后将这个shp面转换为tif影像,再给这个tif影像赋值(赋为统一的高程值),最后将这个影像与原始影像镶嵌,即得到完整修饰好的成果。 具体操作,先建一个shp面,将需要修改成统一高程的区域绘制成一个面,然后利用转换工具中的面转raster,将其转换为raster。 而后,利用空间分析工具集,栅格计算器,给转换后的raster设
[代码审计]DM企业建站系统v201710 sql注入漏洞分析 | 新版v201712依旧存在sql注入
weixin_30781433的博客
12-08 413
0x00 前言 本来呢,这套CMS都不想审的了。下载下来打开一看,各种debug注释,排版烂的不行。 贴几个页面看看 感觉像是新手练手的,没有审下去的欲望了。 但想了想,我tm就是新手啊,然后就继续看了下去。 随便点了一下seay工具自动审出来的几个关键点。发现有注入,既然有注入,就好好看看了。 phpstorm,seay源代码审计,本地demo搭起来~ 看完...
log4j2 源码JNDI漏洞,脚本方式替换jar 包中的log4j2
wumingxiaozei的博客
12-14 1604
source /etc/profile # xxx包路径 RDMS_DDM_HOME=/usr/setup/ddm/work_ddm/rdms_proxy # xxxx包路径 DDM_HOME_BIGDATA=/usr/setup/ddm/work_ddm/bigdata_proxy #时间 CURRENT_DATE="`date +%Y%m%d%H%M%S`" # xxx包路径 DDM_HOME=/usr/setup/ddm/work_ddm/admin/ #关系型log4j jar包替换 functi.
Log4j2 RCE 漏洞之续集
博客
12-26 261
经过一周时间的 log4j2 RCE 事件的发酵,事情也变也越来越复杂和有趣,就连 log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。刚刚熬夜费劲升级了 2.15.0 版本的小伙伴们是不是心中一万个小羊驼奔过。然而在网络上也有各种文章和博客进行激烈的讨论,例如高版本的 JDK 也可以避免,开启 formatMsgNolookups 的方案,还有log4j1 可以幸免于难等等各种说法。在这里笔者针对这些讨论详
Rocky DEM[cfd-dem]案例.pdf
02-25
Rocky DEM[cfd-dem]案例。注意:此文档只有案例结果,并没有详细做法过程,更没有模型文件。
MtlabCFD.rar_SPH_cfd-dem_matlab 阵列天线_流体力学_流体力学代码
07-15
标题中的“MtlabCFD.rar_SPH_cfd-dem_matlab 阵列天线_流体力学_流体力学代码”表明这是一个关于使用MATLAB进行流体力学(CFD)计算的资源包,其中可能包含了SPH(Smoothed Particle Hydrodynamics)方法和DEM...
ARGIS---DEM处理流程.docx
05-23
ARGIS---DEM处理流程 ARGIS 是一款功能强大的 GIS 软件,DEM(Digital Elevation Model)是数字高程模型,ARGIS---DEM 处理流程是指使用 ARGIS 软件对 DEM 数据进行处理和分析的过程。本文将对 ARGIS---DEM 处理...
usgs.rar_USGS_usgs-dem
09-19
【标题】"usgs.rar_USGS_usgs-dem" 指的是一个与美国地质调查局(United States Geological Survey, USGS)相关的数据压缩包,其中包含 "usgs-dem" 数据,这很可能指的是USGS提供的数字高程模型(Digital Elevation ...
vdem:访问“民主多样性”(V-Dem)数据集的版本11.1
05-01
您可以通过键入VDem_plus来访问整个V-Dem数据集。 (通过键入?VDem_plus或键入vdem_codebook来访问数据集上的文档,以将编码本作为数据框进行访问。)。 通过标签,节号等提取特定变量 V-Dem数据集很大。 包括外部...
jeeweb匹配达梦数据的坑
haorenwoyige的专栏
02-23 358
默认情况下,将application的配置中 filters: stat,wall,log4j 去掉wall,配置好数据源application.yml如下 datasource: driver-class-name: dm.jdbc.driver.DmDriver username: ZCL password: zcl_shuju url: jdbc:dm://222....
log4jdbc
Macross
08-10 90
  程序日志sql性能监控程序日志分析 目前可以收集日志的 客户端调用方法的平率 耗时后面会加上 过滤 匹配 错误统计 sql耗时分析及图表 log4jdbc可以和sl4j 很好的整合 并输出日志可以捕获程序最终调用jdbc时的一些状态可以获取完整的sql语句,包括注入?的参数值 sql语句可以直接运行可以获取sql语句的执行耗时可以获取jdbc获取结果集时的详细信息过程可以获取jdbc连接的...
【达梦】DM数据库的坑
SouthNAN的博客
06-11 1210
1、使用DM管理工具操作数据不生效 问题描述: 版本:DM7 在工具中执行update操作,显示成功 使用select语句查询,也确实修改成功了 但是。。。页面上无论怎么刷新、重新登录都还是原号码,看了服务器sql日志显示,使用刚刚update的号码作为参数的查询结果为0个,一脸懵逼,灵异事件?? 原因分析: 正当我无计可施准备走人关掉DM工具的时候,弹出窗口: 解决方案: 原来这个工具操作完数据还需要提交事务。。。提交完后就OK了 暂时没找到在哪里可以设置跟Navicat一样不
GlobalMapper20修补地形数据噪点教程
王跃军的博客
03-02 2300
序: 很多拿到手的DEM数据,会有空洞或者噪点,部分引擎可以自动处理,部分引擎不可以,总之影响使用。这里使用GlobalMapper进行漏洞填充 一、打开数据: 二、右键图层-选择有数据的范围 Layer->BBox/COVERAGES-Create… 在弹出的对话框中选择【否】 Create polygonal coverage Areas 等待数据处理 处理后的结果如下: 三、反向选择获取空洞区域 先用数字化工具,选择上一步生产得要...
聊一下Maven打包的问题(jar要发布)
最新发布
weixin_39766667的博客
07-07 107
现在的开发一直都是用spring boot,突然有一天,要自己开发一个没有springboot的程序,才想起mvn package都快遗忘了。这种方法最后生成的jar包,不会把依赖放到jar里,只是会把/lib放到跟jar一个目录。优点:发布新程序的时候-速度快。缺点:第一次依赖lib要自己copy。源代码我就不多讲解了。这里贴出我的pom.xml。这种方法是把lib打到jar中的方法。打包的程序没有main入口。打包的程序没有包含依赖。明显比刚才大了很多。
获取目标机器的ssh反弹权限后,如何通过一台公网服务器的服务 jar 包进行偷梁换柱植入目录进行钓鱼,从而获取目标使用人的终端设备权限和个人信息?
代码讲故事
07-02 224
网络攻防实战中获取目标机器的ssh反弹权限后,如何通过一台公网服务器的服务 jar 包进行偷梁换柱植入目录进行钓鱼,从而获取目标使用人的终端设备权限和个人信息?
VPS拨号服务器:独享的高效与安全
qq_34245974的博客
07-06 524
本文将深入探讨VPS拨号服务器的独享特性,以及它如何提供更高效的服务和更强的安全保障。总之,VPS拨号服务器的独享特性为用户提供了一个高效、安全且灵活的网络环境,特别适合那些对服务器性能和安全性有高要求的业务需求。随着技术的不断进步,我们有理由相信,VPS拨号服务器将在未来的互联网架构中扮演越来越重要的角色。VPS拨号服务器是一种特殊的服务器,它结合了传统的VPS功能与动态IP地址分配能力。数据隔离:独享服务器保证了数据的隔离性,降低了数据泄露的风险。自定义安全策略:可以根据业务需求实施定制化的安全措施。
绝区肆--2024 年AI安全状况
RamendeusStudio的博客
07-07 343
随着人工智能系统变得越来越强大和普及,与之相关的安全问题也越来越多。让我们来看看 2024 年人工智能安全的现状——评估威胁、分析漏洞、审查有前景的防御策略,并推测这一关键领域的未来可能如何。
颗粒多相流模拟方法_DEM-CFD&CPFD.pdf
05-30
本文主要关注两种主要的耦合方法:CFD-DEM和CPFD。 CFD-DEM (Computational Fluid Dynamics - Discrete Element Method) 是一种结合了连续相的流体力学模型(CFD)与离散元方法(DEM)的策略。在这个模型中,颗粒被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值