Springboot 2.5 2.6修复log4j漏洞

最新推荐文章于 2024-05-15 08:23:45 发布
最新推荐文章于 2024-05-15 08:23:45 发布
阅读量1.1k 收藏
点赞数
文章标签: spring boot java p2p
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XingDianXing/article/details/121921282
版权
一、漏洞简述
Apache Log4j2 是一款开源的 Java 日志记录工具,大
量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提
供的 lookup 功能造成的,该功能允许开发者通过一些协议
去读取相应环境中的配置。但在实现的过程中,并未对输入
进行严格的判断,从而造成漏洞的发生。
二、影响范围
受影响的版本如下:
Log4j 版本
是否受影响
2.0<=2.15.rc1
存在风险的版本包括:
Spring-Boot-strater-log4j2
Apache Struts2
Apache Solr
Apache Flink
Apache Druid
ElasticSearch
flume
dubbo
Redis
logstash kafka
三、漏洞详情
Apache Log4j 是 Apache 的一个开源项目,通过定义
每一条日志信息的级别,能够更加细致地控制日志生成过程。
经过分析,Log4j-2 中存在 JNDI 注入漏洞,当程序将用户输
入的数据进行日志记录时,即可触发此漏洞,成功利用此漏
洞可以在目标服务器上执行任意代码。
2021 年 12 月 9 日,Apache 官方发布了紧急安全更新以
修复该远程代码执行漏洞,但更新后的 Apache Log4j
2.15.0-rc1 版本被发现仍存在漏洞绕过,多家安全应急响
应团队发布二次漏洞预警。
12 月 10 日凌晨 2 点,Apache 官方紧急发布 log4j-
2.15.0-rc2 版本,以修复 Apache log4j-2.15.0-rc1 版本远
程代码执行漏洞修复不完善导致的漏洞绕过。
四、漏洞处置
(一)临时缓解措施
1.修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
2.在应用 classpath 下添加
log4j2.component.properties 配置文件,文件内容为
log4j2.formatMsgNoLookups=true
3.将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
(二)官方修复建议
目前漏洞 POC 已被公开,官方已发布安全版本,若是
使用 Java 开发语言的系统需要尽快确认是否使用 Apache
Log4j 2 插件,并尽快升级到最新的 log4j-2.15.0-rc2 版
本。地址:https://github.com/apache/logging
log4j2/releases/tag/log4j-2.15.0-rc2
五、其它
(一)攻击检测
1.可以通过检查日志中是否存在 jndi:ldap://
jndi:rmi 等字符来发现可能的攻击行为。
2.检查日志中是否存在相关堆栈报错,堆栈里是否有
JndiLookup、ldapURLContext、
getObjectFactoryFromReference 等与 jndi 调用相关的堆
栈信息。

个人建议直接在pom.xml加入版本升级

<dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.16.0</version>
</dependency>

火星上的鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Log4j CVE-2021-44228 漏洞Spring Boot解决方案
oscar999的专栏
12-17 2052
Log4j 的2 到 2.14 版本最近爆出了一个比较大的漏洞漏洞编号是CVE-2021-44228。本篇对该漏洞进行简单介绍, 并介绍Spring Boot项目如何解决该漏洞
7. Spring Boot2.5 安全机制与 REST API 身份验证实战
天空鸟的博客
11-04 1182
1)Spring Boot 2020 年 9 月份修复漏洞;2)Spring Boot Actuator 未授权访问远程代码执行漏洞;3)紧急修复 Spring Framework 版本包含一个安全漏洞(CVE-2020-5421)的修复程序。此漏洞可以通过 sessionId 绕过 RFD (反射型文件下载)保护;4)Spring Boot 2018 年修复了一些安全漏洞;5)建议使用最新的 Spring 5.0+版本;6)Spring 框架升级 5.0.0 - 5.0.2;
springboot中移除tomcat插件的方法
Mr_lambor的博客
10-05 1464
<dependency>    <groupId>org.springframework.boot</groupId>    <artifactId>spring-boot-starter-web</artifactId>    <!-- 从依赖信息里移除 Tomca...
使用云效Codeup10分钟紧急修复Apache Log4j2漏洞
最新发布
qq_53058639的博客
05-15 649
简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j的升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。早在2021年11月24日阿里巴巴云安全团队就报告了该漏洞,为了帮助大家更快的识别漏洞,避免受到潜在的攻击,云效技术团队提供了针对该漏洞的处理方案。
JNDI RMI 注入(Log4j2漏洞
sun0322
12-24 8264
目录 ■相关知识 1.SLF4J(Simple logging Facade for Java) // 简单日志门面 ■(log4j2)漏洞 ■JNDI 注入代码实现(RMI) ■代码细节说明 1.javax.naming.Reference // 构造方法 2.代码中使用的服务如何构建 SimpleHTTPServer // (Python)快速共享目录 3.RMI的利用版本限制 4.问答 5.RMI(Remote Method Invocation)为远程方法调用 ●在攻击..
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 1941
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
漏洞复现 -“核弹”漏洞-Log4j2 JNDI注入(CVE-2021-44228)
菜鸟的测试世界
05-07 954
漏洞被评为“核弹”级别,实在是log4j使用范围太广了,只要写java的,没几个没听过用过log4j吧。 漏洞原理 利用jndi的Lookup功能,实现jndi注入命令执行 影响范围 log4j 2.0-beta9到2.15.0(1.* 版本不受影响) 复现环境 jdk: 1.8.0_181 log4j:2.14.1 OS:Win10 复现步骤 1. 创建一个springboot的工程,验证当前的log4j库是否存在漏洞。 能解析${}表达式的才存在漏洞,官网的log...
log4j漏洞log4j 1.x漏洞依赖包解决方案
你的博客
05-05 4057
那么自己的程序中确定是没有引用了,那log4j的引用必定是程序中的第三方依赖包了。如果觉得上面办法比较麻烦,也并不适合自己的场景,还有一个办法,这个办法只能躲过扫描,并未实际解决log4j漏洞问题,那就是将引入的log4j 1.2.17的包中的版本去改掉,直接修改配置中的版本号,就能躲过扫描。对于应用中我们自己写的程序全部替换为新版本。考虑了很久,某时灵光一闪,既然没有log4j的引用类,那么就在程序中创建这些类吧,这样log4j的几个自定义类仍然可以被其他包引用,而应用中又不需要引用log4j的原始包。
EPLAN全系列 2. 1 2.3 2.4 2.5 2.6 X64 crack.exe
02-26
EPLAN2.6下载
log4j-core-2.6.jar
04-21
log4j-core.jar 各个版本,免费下载 如果不能免费下载,关注我,评论区联系我索要!
log4j-api-2.6.jar
04-21
log4j-api.jar 免费下载 如果不能免费下载,关注我,评论区联系我索要!
S7-200 smart 1.0 2.0 2.1 2.2 2.3 2.4 2.5 2.6 2.7 pou 补丁
07-31
标题中的"S7-200 Smart 1.0 2.0 2.1 2.2 2.3 2.4 2.5 2.6 2.7 pou 补丁"指的是西门子S7-200 SMART系列PLC的程序对象单元(POU)的更新补丁。这些补丁覆盖了从1.0到2.7的多个版本,旨在优化和修复该系列PLC在编程和...
SpringBoot2.6整合SpringSecurity+JWT
01-11
在本文中,我们将深入探讨如何在SpringBoot 2.6版本中整合Spring Security与JSON Web Token(JWT)技术。Spring Security是Spring框架的一个模块,提供了一套强大的安全控制机制,而JWT则是一种轻量级的身份验证和...
普通项目或springboot项目中使用log4j来执行日志输出到控制台或文件
qq_59125846的博客
04-05 3143
第一步添加jar包,第二步编写log4j.properties文件就可以了
Springboot2.5.13集成log4j2日志中打印请求路径列表问题
du拉松的博客
05-07 2822
Springboot2.5.13集成log4j2日志中打印请求路径列表问题
springboot2.5集成log4j2报错
m0_48815080的博客
01-30 482
springbootlog4j2集成错误
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4073
spring-boot-starter-log4j2漏洞修复方式
Spring Boot Log4j2漏洞修复指南 (Log4J2 Vulnerability and Spring Boot)
热门推荐
★【World Of Moshow 郑锴】★
12-14 1万+
###一句话总结issue###如果你使用的是 Log4j 1.x、Logback 或者其他日志框架,这次就可以幸免于难。如果你使用Spring Boot`默认日志`,也是没有问题的,因为默认是`Commons Logging`。 ###一句话solution###升级springboot到最新`v2.5.8`和`v2.6.2`以及后续版本,确保安全;如果单独依赖了log4j2日志,请强制使用最新版本`v2.17.1`。
SpringBoot更换Apache Log4 2.15.0-rc2j漏洞补丁
皓亮君的博客
12-10 2616
文章目录1.Apache Log4j 远程代码执行漏洞以及修复建议2.编译最新的源码成jar包3.在springboot项目中更新log4j补丁3.1把编译好的jar包放到项目根路径下3.2 引入依赖3.3 配置把本地jar打包到项目中 1.Apache Log4j 远程代码执行漏洞以及修复建议 Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功
springboot2.6
10-11
4. WebFlux 改进:Spring Boot 2.6 在 WebFlux 方面进行了一些改进,包括更好的响应式数据访问和更灵活的路由配置。 5. Actuator 改进:Actuator 是 Spring Boot 提供的一个监控和管理应用程序的功能模块,Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值