2024年网络安全最新【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程

最新推荐文章于 2024-06-23 13:39:49 发布
最新推荐文章于 2024-06-23 13:39:49 发布
阅读量728 收藏 26
点赞数 8
分类专栏: 程序员 文章标签: 安全 web安全 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84281703/article/details/138426140
版权

import org.apache.log4j.Logger;

import java.io.*;

public class ExampleHandler implements HttpHandler {

static Logger log = Logger.getLogger(log4jExample.class.getName());

public void handle(HttpExchange he) throws IOException {

String userAgent = he.getRequestHeader(“user-agent”);

log.info(“Request User Agent:” + userAgent);

String response = "

Hello There, " + userAgent + “!

”;

he.sendResponseHeaders(200, response.length());

OutputStream os = he.getResponseBody();

os.write(response.getBytes());

os.close();

}

}

影响范围

Apache Log4j 2.x <= 2.14.1

紧急缓解措施

1、调整JVM参数 -Dlog4j2.formatMsgNoLookups=true

如果是SpringBoot微服务项目,在运行参数中加上

file

如果是传统Web项目,以Tomcat为例,在文件/bin/catalina.sh的前面,增加如下设置:

JAVA_OPTS=’-Dlog4j2.formatMsgNoLookups=true‘

2、修改配置 log4j2.formatMsgNoLookups=True

file

3、修改系统环境变量

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true,进入Linux命令行,输入 vi /etc/profile,在最后加入

file

安全建议

1、升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc2 版本,已发现官方修复代码,目前尚未正式发布

下载地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

file

Github下载量巨大访问慢,可以关注回复微信公众号『 Tom弹架构 』回复“log4j” 下载最新版Log4j离线jar包。

2、升级已知受影响的应用及组件,如 srping-boot-strater-log4j2 / Apache Solr / Apache Flink / Apache Druid

据悉,Apache Log4j2 日志远程代码执行漏洞因此也影响了所有 Minecraft 服务器。

【影响版本】Apache log4j2 >= 2.0, <= 2.14.1

Minecraft 全版本所有系列服务端,除 Mohist 1.18 外。

参考资料

[1] https://github.com/apache/logging-log4j2

[2] https://github.com/apache/logging-log4j2/commit/7fe72d6

关注微信公众号『 Tom弹架构 』回复“Spring”可获取完整源码。

在这里插入图片描述

写在最后

在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84281703
关注
  • 8
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j2漏洞源码分析
weixin_45682070的博客
12-14 3580
前言: 上篇分析了jndi+ldap的利用,这两天新爆出来的漏洞log4j2中,结合恶意payload可执行远程恶意代码 影响范围:Apache Log4j 2.x < 2.15.0-rc2,而且利用难度低,利用要求少 紧急缓解措施(最好升级最新版本): (1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true (2) 修改配置log4j2.formatMsgNoLookups=True (3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISAB
Apache Log4j2 远程代码执行漏洞检测工具
12-15
然而,在202112月初,一个严重的安全漏洞(CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的JNDI(Java Naming and Directory Interface)链接来执行远程代码,对受影响的系统造成...
Log4j 漏洞,用lombok的Slf4j没有影响
miaohancheng的博客
12-15 9911
漏洞描述 Apache Log4j2 是一款优秀的 Java 日志框架。2021 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
日志框架log4j升级log4j2
最新发布
weixin_43369198的博客
06-23 1199
在传统的日志系统中,日志的记录往往是同步进行的,这意味着每当应用程序记录一条日志时,都会直接写入到磁盘或者发送至远程日志服务器上,这个过程可能会因为磁盘I/O或网络延迟而变得相对较慢,在高并发的场景下,这类延迟可能会对应用程序的性能产生明显的影响。目前很多日志框架都已经集成了异步记录日志的功能,例如Logback自带异步日志,而本文将侧重介绍Log4j2日志框架使用Disruptor来完成异步日志的支持,使得Log4j2能够在多线程应用程序中提供更快的日志写入性能,尽可能减少对应用程序性能的影响。
Log4J2漏洞修复方法验证及最终方案
热门推荐
dbzzcz的博客
12-14 2万+
验证代码准备: 在项目登录接口中增加类似如下代码: @PostMapping("login") public R<?> login(@RequestBody LoginBody form) { //form.getUsername()="${java:version}" logger.info("登录:{}",form.getUsername()); // 用户登录 LoginUser userInfo = sysLoginService.login(form.getUsernam
紧急Apache Log4j任意代码执行漏洞安全风险升级修复教程
Tom弹架构
12-12 5232
背景 近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2
速度!快速临时解决Log4j惊天漏洞
Galaxy_0的博客
02-15 784
速度!快速临时解决Log4j惊天漏洞
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录中注入恶意代码来远程执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
apache-log4j-2.16.0-bin.rar
12-17
总之,Apache Log4j2的这个远程代码执行漏洞是一个严重的安全问题,及时升级到2.16.0或更高版本是保护系统免受攻击的关键。企业应当制定并实施有效的安全策略,包括定期更新软件组件,监控系统日志以检测异常行为,...
安全漏洞(1)-Log4j2远程代码执行漏洞log4j2漏洞验证
迷途的小兵
12-13 1万+
Log4j2远程代码执行漏洞log4j2漏洞验证
springboot log4j升级log4j2
Mint6的博客
05-13 1561
log4j2升级步骤 在多线程情况下,使用log4j可能会阻塞其他线程,从而导致整体性能下降并出现性能瓶颈。所以需要升级到性能更好并支持异步的log4j2。
log4j2漏洞修复
liuyuinsdu的专栏
12-12 3283
一、【紧急补救措施】 (1)修改jvm参数-Dlog4j2.formatMsgNoLookups=true (2)修改配置log4j2.formatMsgNoLookups=True (3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 首先修改supervisor的配置文件 增加环境变量 遍历一下日志文件,看看是否有攻击 没有人攻击,很好 二、修改依赖库 【影响范围】:Java类产品:...
log4j从1.x平滑升级至2.x
weixin_43872895的博客
12-17 5119
log4j从1.x平滑升级至2.x
Log4j2 BUG 缓解措施无效
景旭的博客
12-13 1032
log4j bug,log4j2 bug, log4j2 bug修复log4j2 缓解措施无效
Log4J的简单实用
cxy_0330的博客
03-27 499
一、依赖 <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId&gt...
log4j2配置
1853
04-21 777
log4j2配置 日志输出格式: %-5level 级别 %d{yyy-MM-dd HH:mm:ss.SSS} 日期 %c 当前类全名 %M 当前执行方法 %L 行号 %t 线程名 %m 信息 %n 换行 log4j2.xml范例1 <?xml version="1.0" encoding="UTF-8"?> <Configuration> <properties> <property name="logDir">D:/0000/logs</pr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值