Log4j2 再爆雷,Log4j v2

最新推荐文章于 2024-07-24 15:30:16 发布
最新推荐文章于 2024-07-24 15:30:16 发布
阅读量615 收藏 10
点赞数 19
分类专栏: 程序员 文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84048034/article/details/138364245
版权
本文解析了Log4j2的最新安全漏洞CVE-2021-45105,介绍了攻击原理、影响范围以及升级和临时解决方案。还提到了Java技术栈的关注点和相关面试题内容。
摘要由CSDN通过智能技术生成

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!

又来了。。Log4j2 这是中了新冠的毒?

这次又爆出来新的 DOS 拒绝服务攻击漏洞。。

如果你想关注和学习最新、最主流的 Java 技术,可以持续关注Java技术栈,第一时间推送。

安全漏洞:CVE-2021-45105

===================

漏洞摘要

====

Log4j 团队又获悉了一个重要的安全漏洞 CVE-2021-45105:

Log4j2 再爆雷,Log4j v2.17.0 横空出世

该漏洞已在支持 Java 8+ 版本的 Log4j 2.17.0 中得到解决,请尽快升级。

漏洞详情

====

因没有防止自引用 lookups 的不受控制的递归,当日志配置使用带有上下文 Lookup 的非默认模式,例如:

$${ctx:loginId}

此时,攻击者可以制作包含递归查找的恶意输入数据,导致 StackOverflowError 错误而终止进程,这也就是 DOS(Denial of Service)拒绝服务攻击。

从 Log4j 2.17.0 版本开始,只有配置中的 lookup 字符串才允许递归扩展,另外,在任何其他用法中,仅解析最顶级的 lookup,不解析任何嵌套的 lookups。

解决方案

====

1、升级版本

======

立马升级到最新版本:Log4j 2.17.0

最新正式版本下载:

https://logging.apache.org/log4j/2.x/download.html

最新 Maven 依赖:

org.apache.logging.log4j

log4j-core

2.17.0

spring-boot-starter-log4j2 尚未更新,可以先覆盖其内置版本:

<log4j2.version>2.17.0</log4j2.version>

Spring Boot 基础就不介绍了,推荐下这个实战教程:

https://github.com/javastacks/spring-boot-best-practice

另外,Spring Boot 也在跟进此漏洞,界时新版本可以连带解决,等新版本发布,栈长再给大家解读,Java技术栈第一时间推送,不要走开哦。

2、临时解决

======

如果你不想升级版本,可以考虑使用以下 2 种临时解决方案:

最后

ActiveMQ消息中间件面试专题

  • 什么是ActiveMQ?
  • ActiveMQ服务器宕机怎么办?
  • 丢消息怎么办?
  • 持久化消息非常慢怎么办?
  • 消息的不均匀消费怎么办?
  • 死信队列怎么办?
  • ActiveMQ中的消息重发时间间隔和重发次数吗?

ActiveMQ消息中间件面试专题解析拓展:

BAT面试文档:ActiveMQ+redis+Spring+高并发多线程+JVM

redis面试专题及答案

  • 支持一致性哈希的客户端有哪些?
  • Redis与其他key-value存储有什么不同?
  • Redis的内存占用情况怎么样?
  • 都有哪些办法可以降低Redis的内存使用情况呢?
  • 查看Redis使用情况及状态信息用什么命令?
  • Redis的内存用完了会发生什么?
  • Redis是单线程的,如何提高多核CPU的利用率?

BAT面试文档:ActiveMQ+redis+Spring+高并发多线程+JVM

Spring面试专题及答案

  • 谈谈你对 Spring 的理解
  • Spring 有哪些优点?
  • Spring 中的设计模式
  • 怎样开启注解装配以及常用注解
  • 简单介绍下 Spring bean 的生命周期

Spring面试答案解析拓展

BAT面试文档:ActiveMQ+redis+Spring+高并发多线程+JVM

高并发多线程面试专题

  • 现在有线程 T1、T2 和 T3。你如何确保 T2 线程在 T1 之后执行,并且 T3 线程在 T2 之后执行?
  • Java 中新的 Lock 接口相对于同步代码块(synchronized block)有什么优势?如果让你实现一个高性能缓存,支持并发读取和单一写入,你如何保证数据完整性。
  • Java 中 wait 和 sleep 方法有什么区别?
  • 如何在 Java 中实现一个阻塞队列?
  • 如何在 Java 中编写代码解决生产者消费者问题?
  • 写一段死锁代码。你在 Java 中如何解决死锁?

高并发多线程面试解析与拓展

BAT面试文档:ActiveMQ+redis+Spring+高并发多线程+JVM

jvm面试专题与解析

  • JVM 由哪些部分组成?
  • JVM 内存划分?
  • Java 的内存模型?
  • 引用的分类?
  • GC什么时候开始?

JVM面试专题解析与拓展!

BAT面试文档:ActiveMQ+redis+Spring+高并发多线程+JVM

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!
内存划分?

  • Java 的内存模型?
  • 引用的分类?
  • GC什么时候开始?

JVM面试专题解析与拓展!

[外链图片转存中…(img-AjJzQKzd-1714513856905)]

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!

2401_84048034
关注
  • 19
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Log4j2最近被爆出巨大漏洞
文盲青年的博客
12-11 3297
一、背景 近日,知名sl4j日志规范实现框架log4j2被爆出巨大漏洞,可被黑客利用jndi机制执行非法命令,获取服务器权限等,不幸的是很多知名框架也用了log4j2,我们熟知的如Apache Struts2、Apache Solr、Apache Druid、Apache Flink… 相信很多互联网厂此刻正瑟瑟发抖,紧急修复。 国家网络应急中心也紧急发布了处理意见:关于Apache Log4j2存在远程代码执行漏洞的安全公告 很多服务使用了log4j2框架,并且打了API入参日志、三方交互日志等,正在被黑
玩大了,Log4j 2.x 再爆雷。。。
Java技术栈,分享最主流的Java技术
12-17 238
Log4j 2.x 再爆雷 最近沸沸扬扬的 Log4j2 漏洞门事件炒得热火朝天,历经多次版本升级。。。 最新的版本为 Log4j 2.16.0,很多人以为 Log4j 2.16.0 只是默认禁用 JNDI 功能和移除消息的 Lookups 功能,只要自己不乱用升不升都无所谓,觉得这个版本不是必须的,以为只升级到 2.15.0 就万事大吉了,非也! 栈长又看到了最新 Log4j 核弹级漏洞动态: 关于 Log4j 2.x,现在强烈建议大家升级到 2.16.0 !!! 因为,2.15.0 虽然解决了最严重
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 7219
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Log4j2 频繁爆雷给出几点日志使用建议
码上修行
12-19 338
日志体系概述日志接⼝JCL:Apache 基金会所属的项⽬,是一套 Java 日志接⼝,之前叫 Jakarta Commons Logging,后更名为 Commons Logging,简...
阿里云被工信部暂停合作!Log4j 持续爆雷,啥时候是个头?
民工哥的博客
12-23 1911
点击关注公众号,回复“1024”获取2TB学习资源!作者 | 褚杏娟 核子可乐来源:infoQ据媒体报道,近期工信部网络安全管理局通报称,阿里云计算有限公司(以下称:阿里云)在 11 月...
log4j_local_scanner.v2.tar.gz
01-09
log4j2漏洞检测工具
springboot3.2.4+lombok+log4j2+swagger集成demo
04-12
初学者的福音,最近一直在折腾springboot版本的问题,发现在集成三方库时v2和v3版本完全不兼容。平滑升级相当困难,在用springboot3做新项目时也遇到了很多官方文档不详细的原因,所以特整理了一个干净版本的开发...
log4j\c3p0\jndi详细配置实例
12-16
`log4j`的配置文件通常为`log4j.properties`或`log4j.xml`,其中定义了日志输出级别(如DEBUG、INFO、WARN、ERROR、FATAL)、日志输出目的地(控制台、文件、邮件等)以及日志格式。例如: ```properties # log4j....
c3p0&log4j配置文件及说明
04-25
在Java开发中,c3p0和log4j是两个非常关键的库,它们分别用于数据库连接池管理和日志记录。下面将详细讲解这两个库的配置及其重要性。 首先,c3p0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,可以极大地...
全民日志组件 Apache Log4j2 爆发漏洞,赶紧加班修复
学Java,找哪吒
12-11 6688
一、日志漏洞,劲爆来袭 近日,Apache Log4j2 的远程代码执行漏洞刷爆朋友圈,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,很多网站如百度等都是此次 Log4j 远程代码执行漏洞的受害者,很多互联网企业也都连夜做了应急措施。 据说是阿里团队发现的,再次膜拜阿里爸爸。 漏洞详情: 打印日志时,如果是一段可执行的代码或超链,就会有被执行的可能,类似于sql注入,秒懂没? 这可能导致服务器被黑客控制,从而进行页面篡改、数据被盗、网络瘫痪等行为。 二、解决方案 1、民间解决方案: 升级到最
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4426
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
炸了..Log4j2 再爆漏洞v2.17.1 横空出世。。。
Java技术栈,分享最主流的Java技术
12-30 670
Log4j 2.17.0 再爆雷 Log4j 1.x, Log4j 2.x, Logback 的漏洞刚告一段落,栈长本以为这件事可以在 Log4j v2.17.0 这个版本终结了,没想到。。。 就在昨天,栈长打开公众号,在《团灭!Log4j 1.x 也爆雷了。。。速速弃用!!》一文中,有小伙伴给栈长留言: WC!又来漏洞??? 栈长也去 Log4j2 官方验证了下: Log4j 又发 v2.17.1 了,Log4j v2.17.0 又有远程代码执行漏洞,加上本次的漏洞,这是 Log4j 2.x 近期爆
Log4j:深入理解其原理及使用
Aaron_945的博客
07-22 550
Log4j提供了扩展接口,允许开发者自定义Appender和Layout,以满足特殊的日志记录需求。
Python中的异常处理与调试技巧
最新发布
Dxy1239310216的博客
07-24 384
异常(Exception)是程序运行过程中发生的错误或异常情况,它会打断程序的正常流程。Python中的异常可以是语法错误(如拼写错误),也可以是运行时错误(如除零错误)。异常处理和调试是Python编程中不可或缺的技能。通过合理使用try-except语句、掌握调试技巧,并借助IDE和日志等工具,你可以更加高效地识别并解决代码中的问题,编写出更加健壮和可靠的程序。希望本文对你有所帮助,祝你在Python编程的道路上越走越远!
【vluhub】log4j注入漏洞 CVE-2021-44228
yh
07-23 1034
log4j漏洞复现,vulhub搭建
Vue的单元测试和端到端测试:确保组件可靠性与应用完整性
哎 你看的博客
07-23 848
在软件开发过程中,测试是保证代码质量和应用稳定性的关键环节。Vue.js 作为流行的前端框架,提供了一套完善的测试工具和生态系统,支持开发者进行单元测试和端到端测试。本文将深入探讨如何为Vue组件编写单元测试,并讨论如何使用Cypress等工具进行端到端测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值