速度!快速临时解决Log4j惊天漏洞

最新推荐文章于 2024-01-01 21:06:06 发布
最新推荐文章于 2024-01-01 21:06:06 发布
阅读量2.2k 收藏
点赞数
文章标签: java linux mysql android 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DynmicResource/article/details/121871863
版权

theme: scrolls-light

🤞 个人主页:@青Cheng序员石头
🤞 粉丝福利:加粉丝群 一对一问题解答,获取免费的丰富简历模板、提高学习资料等,做好新时代的卷卷王!

Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写入日志中。

此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

影响版本

2.0 <= Apache log4j2 <= 2.14.1

官方补丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

临时解决方案一

  1. 设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”

  2. 设置“log4j2.formatMsgNoLookups=True”

  3. 系统环境变量“FORMATMESSAGESPATTERNDISABLELOOKUPS”设置为“true”

  4. 关闭对应应用的网络外连,禁止主动外连

临时解决方案二

还有的解决办法升级版本,现在中央仓库还没发版本,可以去GitHub下载源码临时编译打包替换。

文章系转载,阅读原文请跳转Apache Log4j2 远程代码执行漏洞 | 默安科技全产品支持检测

少年,没看够?点击石头的详情介绍,随便点点看看,说不定有惊喜呢?欢迎支持点赞/关注/评论,有你们的支持是我更文最大的动力,多谢啦!

青Cheng序员石头
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
log4j升级之路
weixin_42796403的博客
12-13 1322
log4j升级之路 10.10 阿里公开log4j漏洞详细细节,apache下大部分项目收到影响,java程序员开启梦幻般的升级log4j的加班之旅。 初始升级方案 修改jvm参数: Dlog4j2.formatMsgNoLookups=true 修改配置log4j2.formatMsgNoLookups=True 将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置true 升级版方案 10.11 日apache上线log4j 1.15稳定版,开启升
使用云效Codeup10分钟紧急修复Apache Log4j2漏洞
最新发布
qq_53058639的博客
05-15 649
简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。早在2021年11月24日阿里巴巴云安全团队就报告了该漏洞,为了帮助大家更快的识别漏洞,避免受到潜在的攻击,云效技术团队提供了针对该漏洞的处理方案。
Apache log4j 史诗级漏洞、补救方法
supwuq的博客
12-10 2536
国家互联网应急心https://www.cert.org.cn/publish/main/8/2021/20211210110550958546708/20211210110550958546708_.html 国家互联网应急心都发布了,作为Java界日志工具的杠把子,Log4j和Logback几乎统一了江湖,如今被爆出"高危漏洞" 真的让开发人员连夜改修复漏洞漏洞的具体内容如图我就不多说了,,相关的企业肯定都收到了排查通知书。我们项目组也不另外,下面是整理的一些补救措施。 1:升级jar,pom
log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)
hldfight
12-23 1万+
0x00 前言 自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 0x01 2.15.0版本 1.1 修复方案 此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下: 1、默认禁用msg lookup功能 2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法限制了ldap服务
Log4j漏洞原理及修复
o0way0o的博客
01-01 1899
*JNDI(Java Naming and Directory Interface–Java)**命名和目录接口 是Java为命名和目录服务提供接口的API,通过名字可知道,JNDI主要由两部分组成:Naming(命名)和Directory(目录),其Naming是指将对象通过唯一标识符绑定到一个上下文Context,同时可通过唯一标识符查找获得对象,而Directory主要指将某一对象的属性绑定到Directory的上下文DirContext,同时可通过名字获取对象的属性同时操作属性。
LOG4J RCE 漏洞分享与自查.pdf
12-15
本文将详细介绍 Log4j RCE 漏洞的成因、漏洞复现、检测方法和解决方案。 漏洞原因: Log4j RCE 漏洞是由于 Log4j2 2.10.0 版本Lookup 模块存在的漏洞Lookup 模块允许用户在日志格式字符串插入变量,从而...
log4j2.17.2
04-14
此次,我们聚焦于“log4j2.17.2漏洞修复程序包”,深入探讨该版本如何解决这一安全隐患。 Log4j2漏洞(CVE-2021-44228)的本质在于,攻击者可以通过操纵日志输入,触发JNDI(Java Naming and Directory Interface)...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
log4j2漏洞检测工具
05-07
4. **修复漏洞**: 根据报告提供的指导,更新Log4j2到不受影响的版本,或者应用临时解决方案,如禁用JNDI查找功能。 5. **验证修复**: 再次运行检测工具,确保所有漏洞都已修复。 6. **持续监控**: 设置定期扫描,...
SpringBoot及SpringCloud解决Apache Log4j任意代码执行漏洞方法,附临时紧急处理方法5选1(所有JAVA程序均可)【完全清理解决三方组件引用log4j2
qq_36387334的博客
12-13 5141
本方法主要用于配置修改,完全清理spring boot已经去除了spring-boot-starter-log4j2并切换使用logback,打包依然发现存在log4j相关包存在的解决办法。 现阶段不建议修改log4j2版本号,首先官方目前2个修复版本均发现可以绕过,尚无稳定版本**,并且各组件还是需要考虑可能兼容等问题。(更新:可以参考临时方法5直接更新版本号)
Log4j 严重漏洞修最新修复方案参考
Javaesandyou的博客
12-21 1万+
CVE-2021-44228,原理上是 log4j-core 代码的 JNDI 注入漏洞。这个漏洞可以直接导致服务器被入侵,而且由于“日志”场景的特性,攻击数据可以多层传导,甚至可以威胁到纯内网的服务器。log4j 作为 Java 开发的基础公共日志类,使用范围非常广,漏洞必定影响深远,想想当年commons-collections反序列化漏洞的影响范围。 Github漏洞公告: https://github.com/advisories/GHSA-jfh8-c2jp-5v3q 影响 < 2.1
Log4j核弹级bug复现及解决方案
wangdakaiwandashuai的博客
12-14 1590
Log4j核弹级bug
Log4j 漏洞修复和临时补救方法
12-14 3753
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
Log4j2漏洞
qq_20025777的博客
12-10 2万+
Log4j2漏洞危害:高危、远程代码执行
Log4j2 重大漏洞解决方案
热门推荐
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?
Log4j漏洞修复
yuzhiqiang_1的博客
12-10 6468
原因: log4j被爆安全漏洞,紧急进行版本修复。 过程: 项目查找是否使用到log4j,发现在lombok有使用log4j 2.11.2版本 解决方案: 在pom文件找到lombok节点 添加排除属性<exclusions> 因在maven仓库没有log4j-2.15.0-rc2.jar 。[jar下载地址](https://archiva-maven-storage-prod.oss-cn-beijing.aliyuncs.com/repository/central/#
log4j 安全问题验证demo & CRLF注入漏洞
weixin_42299862的博客
12-31 7671
一、环境准备 https://blog.csdn.net/weixin_42299862/article/details/111993837 二、demo 1、使用 @Log4j2 log.error() 打印异常日志是否会泄露敏感信息? https://www.cnblogs.com/huanghuanghui/p/11775731.html https://www.cnblogs.com/qlqwjy/p/7192947.html 代码如下 如果有红线语法错误,参考https://blog.csdn.n
VMSA-2021-0028.pdf
12-13
“VMSA-2021-0028.pdf”文件是关于VMware针对CVE-2021-44228,即著名的Apache Log4j漏洞的修复方案。此漏洞影响了多个VMware产品,公司提供了临时措施以及官方说明链接,用户可以参考这些信息来保护其系统安全。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值