事情起因:一位服主跟我说服务器总是开着开着就关服,我看了报错,是线程堵塞,并且第一条就是Fixer的类,如图所示
这是对应的类
如图所示,有一个正则,贪婪量词 导致了 嵌套回溯,其实就是白老板在修复之前Log4j2的漏洞的时候,写的正则,错误原因举个例子,假如日志消息是"aaaaaaaaaaaaaaaaaaaaaaaaaaaa",不包含${jndi:,就会导致
对于长度为 N 的不匹配字符串,回溯次数约为 O(N³):
第一个 .*: N 种可能
第二个 .*: 对每个第一个 .* 的位置,又有 N 种可能
第三个 .*: 对每个前两个 .* 的组合,又有 N 种可能,总之改成\$\{jndi:或者限制匹配长度或者String.contains("${jndi:"),总之我目前是改成\$\{jndi:了,先用着吧
这是对应的类
如图所示,有一个正则,贪婪量词 导致了 嵌套回溯,其实就是白老板在修复之前Log4j2的漏洞的时候,写的正则,错误原因举个例子,假如日志消息是"aaaaaaaaaaaaaaaaaaaaaaaaaaaa",不包含${jndi:,就会导致
对于长度为 N 的不匹配字符串,回溯次数约为 O(N³):
第一个 .*: N 种可能
第二个 .*: 对每个第一个 .* 的位置,又有 N 种可能
第三个 .*: 对每个前两个 .* 的组合,又有 N 种可能,总之改成\$\{jndi:或者限制匹配长度或者String.contains("${jndi:"),总之我目前是改成\$\{jndi:了,先用着吧
![Arete — 卓越技能,由声明式脚本驱动的 Minecraft 技能引擎[1.12.2-1.21.X]](/data/resource_icons/1/1643.jpg?1760687525){kind=icon}
![ZUltraTrainer— 宝可梦终极对战系统 | 对战效果语句控制 | 包含超强自定义NPC功能 [1.12.2/1.16.5/1.20.2]](/data/resource_icons/0/797.jpg?1704617579){kind=icon}
![CobbleHunt - 方可梦狩猎任务系统,由Kotlin+TabooLib6编写的超强自定义任务插件,支持Kether,组合型任务 [1.21.1]](/data/resource_icons/1/1566.jpg?1753721295){kind=icon}
![ZPokeTaskPapiReload— 宝可梦终极事件重制版 | 重新定义你的宝可梦玩法 | 支持MySQL | 高拓展性[1.12.2]](/data/resource_icons/0/789.jpg?1703420419){kind=icon}
![ZaxWorld —— 使用Kotlin+TabooLib6开发的世界限时插件[支持YAML/MySQL] [全版本]](/data/resource_icons/0/908.jpg?1711813296){kind=icon}