SpringCloud项目的 log4j2漏洞解决

最新推荐文章于 2024-08-17 09:57:28 发布
置顶 最新推荐文章于 2024-08-17 09:57:28 发布
阅读量4.2k 收藏 8
点赞数 26
分类专栏: java 文章标签: 安全 后端 cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aahg521626/article/details/121997633
版权

很多小伙伴因为Log4j2的惊爆0Day漏洞一时束手无策,这里提供最终解决方案可以进行一个版本号的升级,步骤如下

<properties>
    <log4j2.version>2.15.0</log4j2.version>
</properties>

在这里插入图片描述
一、下面为上边对应版本号的具体依赖

    <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.15.0</version>
        </dependency>

        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-to-slf4j</artifactId>
            <version>2.15.0</version>
        </dependency>

二、修改完后,点击右侧的maven刷新按钮

在这里插入图片描述
三、如何验证版本号是否修改成功呢,见下图

在这里插入图片描述

四、临时性解决方法

临时性缓解措施(任选一种,但是注意,只有 >=2.10.0 版本才可以用,老版本不支持这个选项)
– 在 jvm 参数中添加 -Dlog4j2.formatMsgNoLookups=true
– 系统环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true
– 创建 log4j2.component.properties 文件,文件中增加配置 log4j2.formatMsgNoLookups=true

五、攻击者排查

1.攻击者在利⽤前通常采⽤ dnslog ⽅式进⾏扫描、探测,对于常⻅利⽤ ⽅式可通过应⽤系统报错⽇志中的"javax.naming.CommunicationException:javax.naming.NamingException:
problem generating object using object factory"、Error looking up JNDI
resource"关键字进⾏排查。

2.流量排查:攻击者的数据包中可能存在:jndi:ldap字 样,推荐使⽤奇安信⽹神⽹站应⽤安全云防护系统全流量或 WAF 设备进⾏检索排查。

3.⽇志排查:可使⽤ https://github.com/Neo23x0/log4shell-detector 开源项 ⽬,对 WEB 应⽤⽇志进⾏检查。

Mon 06 Mon 13 Mon 20 已完成 进行中 计划一 计划二 现有任务 Love is just a word I only say one word

知名的Java日志组件Apache Log4j2就刷爆了圈子。它被发现了一个 0 Day 漏洞,该Log4J2 漏洞可以让黑客通过日志记录远程执行代码(Remote Code Execution)。由于这个日志库被普遍使用,而这个漏洞又非常容易使用,所以造成的风险也非常严重,让人不得不提高防范。就连不懂代码的客户都来问系统是否存在这个问题。

在这里插入图片描述

*而我在颠沛中 已饱经一脸沧桑 *

sense.gong
关注
专栏目录
Log4j CVE-2021-44228 漏洞及Spring Boot解决方案
oscar999的专栏
12-17 2095
Log4j 的2 到 2.14 版本最近爆出了一个比较大的漏洞漏洞编号是CVE-2021-44228。本篇对该漏洞进行简单介绍, 并介绍Spring Boot项目如何解决漏洞
Log4j2springcloud与springboot项目里的使用
qq_41508632的博客
10-30 721
先在pom.xml文件里添加依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> &l...
spring cloud微服务配置log4j2日志组件和zipkin进行服务链路追踪
2401_84046677的博客
04-17 842
给大家送一个小福利附高清脑图,高清知识点讲解教程,以及一些面试真题及答案解析。送给需要的提升技术、准备面试跳槽、自身职业规划迷茫的朋友们。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />给大家送一个小福利[外链图片转存中…(img-E3cioTRO-1713301051960)]附高清脑图,高清知识点讲解教程,以及一些面试真题及答案解析。送给需要的提升技术、准备面试跳槽、自身职业规划迷茫的朋友们。
技术干货 | 针对Spring-Boot 框架漏洞的初探
2301_80127209的博客
07-29 2438
这篇文章主要是给师傅们介绍下Spring-Boot 框架漏洞的打法以及主要对于Spring-Boot漏洞的接口泄露信息进行一个分析,后面使用了曾哥的Spring-Boot漏洞扫描工具,可以很大减轻我们对于这个漏洞接口的分析。
SpringCloud使用log4j日志框架教程
五道口
07-21 1638
Log4j2是一款流行的Java日志框架,它提供了高度可配置的日志记录功能,支持多种不同的输出格式和目标,比如文件、控制台、数据库等等。Log4j2的设计目标是提供高性能、低延迟的日志记录功能,能够满足各种不同的应用场景。本文接将讲解下log4j2在spring Cloud或spring boot中的使用方法,让你5分钟上手
SpringCloud整合log4j2总结
热门推荐
@龙猫的博客
08-02 1万+
SpringCloud整合log4j2常用日志框架日志门面slf4j为什么要选用log4j2整合步骤 常用日志框架 java.util.logging:是JDK在1.4版本中引入的Java原生日志框架 Log4j:Apache的一个开源项目,可以控制日志信息输送的目的地是控制台、文件、GUI组件等,可以控制每一条日志的输出格式,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。虽...
springcloud--日志链路追踪之log4j2
06-28 4624
传统的log4j,同步打印日志,同时输出许多条日志记录,会采用抢占式,谁先得到输出机会,先打印某条日志。log4j2,异步打印日志,业务线程将日志输出存放到一个无锁化环形队列(RingBuffer),log4j2的异步线程会从该队列中读取日志,并进行持久化。该环形队列,可以设置缓冲区大小,以及队列满了后,将debug/info/error/trace中某个级别的日志进行剔除。使用:maven依赖&...
Spring Cloud 爆高危漏洞,老板给你打电话了没?
公众号:微观技术
03-14 261
大家好!我是Tom哥互联网时代,微服务盛行,为了整合生态,Spring Cloud 横空出世。之前Tom哥还写过一篇全家桶文章《【万字长文】创业公司就应该技术选型 Spring Cloud Alibaba , 开箱即用》正所谓 “成也萧何,败也萧何”, 这货提供了便利同时,也经常捅个篓子。这不刚刚又爆出个漏洞Spring Cloud 突发漏洞Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway 又突发高危漏洞,又得折腾了。。。2022年3月1日,Spring官方
安全漏洞】利用CodeQL分析并挖掘Log4j漏洞
HBohan的博客
12-29 1481
分析漏洞的本质是为了能让我们从中学习漏洞挖掘者的思路以及挖掘到新的漏洞,而CodeQL就是一款可以将我们对漏洞的理解快速转化为可实现的规则并挖掘漏洞的利器。根据网上的传言Log4j2的RCE漏洞就是作者通过CodeQL挖掘出的。虽然如何挖掘的我们不得而知,但我们现在站在事后的角度再去想想,可以推测一下作者如何通过CodeQL挖掘到漏洞的,并尝试基于作者的思路挖掘新漏洞
Spring Cloud Gateway 突发高危漏洞,下一代云原生网关恰逢其时?
阿里云云栖号
03-15 983
简介:Log4j2漏洞刚告一段落,Spring 官方在 2022 年 3 月 1 日发布了 Spring Cloud Gateway 的两个 CVE 漏洞:分别为 CVE-2022-22946(严重性:Medium)与 CVE-2022-22947(代码注入漏洞,严重性:Critical)。 Spring Cloud Gateway 突发高危漏洞 Log4j2漏洞刚告一段落,Spring 官方在 2022 年 3 月 1 日发布了 Spring Cloud Gateway 的两个 CVE 漏洞
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
明哥的IT随笔
01-01 1120
大家好,我是明哥!近期 LOG4J 围绕JNDI的安全漏洞频繁暴雷,着实让小伙伴们忙活了一阵。本文我们就一起来看下,CDH/HDP/CDP 等大数据平台中如何快速应对 LOG4J 的 JN...
Spring Boot使用Log4j2的实例代码
08-29
主要介绍了Spring Boot使用Log4j2的实例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Cloud Gateway 2.1 使用手册中文版
08-25
版本:2.1.0.BUILD-SNAPSHOT。 这个项目提供了一个构建在Spring生态系统之上的API网关,包括:Spring 5,Spring Boot 2和Project Reactor。 Spring Cloud Gateway旨在提供一种简单而有效的API路由方式,并为其提供横切关注点,例如:安全,监控/指标和弹性。 特征: (1)构建于Spring Framework 5,Project Reactor 和 Spring Boot 2.0 (2)能够匹配任何请求属性的路由 (3)谓词和过滤器对于路由是特定的 (4)Hystrix断路器集成 (5)Spring Cloud DiscoveryClient集成 (6)易于编写谓词和过滤器 (7)请求速率限制 (8)路径重写
spring cloud 1.4 以上版本不再支持log4j,而是支持其升级版log4j2
bug_yun的博客
03-24 1206
spring cloud 1.4 以上版本不支持 log4j , 而替代 log4j 的是 log4j2, 虽然log4j2在性能方面快了将近10倍,但是log4j2不再支持log4j.properties。 故如果spring cloud如果由1.3升级的话去配置中心取配置文件要注意了。   例子1.3版本的:    pom.xml 新加内容 &lt;dependency&g...
SpringCloud升级之路2020.0.x版-10.使用Log4j2以及一些核心配置
hashcon
08-14 580
本系列代码地址:https://github.com/HashZhang/spring-cloud-scaffold/tree/master/spring-cloud-iiford 我们使用 Log4j2 异步日志配置,防止日志过多的时候,成为性能瓶颈。这里简单说一下 Log4j2 异步日志的原理:Log4j2 异步日志基于高性能数据结构 Disruptor,Disruptor 是一个环形 buffer,做了很多性能优化(具体原理可以参考我的另一系列:高并发数据结构(disruptor)),Log4..
springCloudAlibaba整合log4j2
最新发布
810cheng
08-17 409
log4j2日志在阿里巴巴微服务中的使用
springboot 日志管理之 log4j2
m0_52542073的博客
10-03 5258
log4j2 日志框架详解,一文让你轻松学会 log4j2 的使用。
Spring Cloud 项目整合Log4j2
Web3 & Basketball
08-01 5557
Spring Cloud 项目整合Log4j2的步骤。 1、排除logback的默认集成。 因为Spring Cloud 默认集成了logback, 所以首先要排除logback的集成,在pom.xml文件: &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; ...
springCloud使用log4j2详解
09-07
在Spring Cloud中使用log4j2,可以通过配置log4j2.xml文件来实现。低版本的log4j2可能不支持log4j2.properties文件,因此推荐使用log4j2.xml文件作为配置文件。 配置log4j2.xml文件的具体步骤如下: 1. 首先,需要...
评论 21
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值