【紧急】Log4j再发2.1.6,强烈建议升级

最新推荐文章于 2022-01-01 22:04:39 发布
最新推荐文章于 2022-01-01 22:04:39 发布
阅读量263 收藏
点赞数
文章标签: apache java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZgqJavaCSDN/article/details/121976760
版权

背景

继前天正式发布的2.15.0之后,Apache log4j 2 团队宣布 Log4j 2.16.0 发布!

由于SLF4J适配兼容性的中断,Log4j 现在发布两个版本的SLF4J to Log4j的适配器。log4j-slf4j-impl对应 SLF4J 1.7.x 及更早版本;log4j-slf4j18-impl对应SLF4J 1.8.x 及更高版本一起使用。SLF4J-2.0.0 alpha 版本目前还不完全支持。

强烈推荐升级2.16.0。

修正错误

1、LOG4J2-3208:默认禁用 JNDI。需要 log4j2.enableJndi设置为 true 以允许 JNDI。无论是Log4j2还是其它使用了JNDI的Java类库中,在不受保护的上下文中使用JNDI都具有一个很大的问题安全风险。

2、LOG4J2-3211:完全删除对Message Lookups的支持。目的是采取强化措施以防止 CVE-2021-44228,此举措不是修复 CVE-2021-44228所必须的。

受漏洞影响的Apache项目

另外Apache 安全团队在今天公布了受log4j CVE-2021-44228影响的Apache项目。可以根据下面列表进行排查:

项目是否受到影响解决方案
Apache Archiva2.2.6正式发行版将解决这个问题
Apache Druid更新到0.22.1
Apache EventMesh暂无明确方案
Apache lceberg
Apache Flink暂无明确方案
Apache Fortress更新到2.0.7
Apache Geode更新到1.12.6,1.13.5,1.14.1
Apache Guacamole
Apache Hadoop使用log4j 1.x
Apache Hive暂无明确方案
Apache Jena暂无明确方案
Apache JMeter暂无明确方案
Apache JSPWiki暂无明确方案
Apache Log4J1.2存在类似漏洞参考「CVE-2021-4104]漏洞,JMS调用JNDI北洞
Apache Log4J2.x更新到2.16.0
Apache Log4Net
Apache OFBiz更新到18.12.03
Apache Ozone更新到1.2.1
Apache skyWalking更新到8.9.1
Apache Solr更新到8.11.1
Apache Spark使用log4j 1.x
Apache Struts暂无明确方案
Apache Tomcat
Apache TrafficControl暂无明确方案
Apache ZooKeeper使用log4j 1.x
Apache Calcite Avatica更新到1.20.0
Apache CloudStack

在 2.15.0 版本之前,Log4j 会在模式布局(Pattern Layout)中包含的消息或参数中自动解析 Lookups。这行为不再是默认值,必须通过指定启用%msg{lookup}。Apache Log4j 2.16.0至少需要Java 8才能构建和运行。Log4j 2.12.1是最后一个支持Java 7的版本。Java 7不是Log4j团队的长期支持版本。

升级措施

本人在前几天紧急连载了关于此漏洞的修复教程: Apache Log4j任意代码执行漏洞安全风险升级修复教程 ,此方法依然有效。

如果你懒得看之前的文章,可以通过直接升级jar包的方式,加入如下依赖:


<properties>
    <java.version>1.8</java.version>
    <log4j2.version>2.16.0</log4j2.version>
</properties>

<dependencies>
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-core</artifactId>
        <version>${log4j2.version}</version>
    </dependency>
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-api</artifactId>
        <version>${log4j2.version}</version>
    </dependency>
</dependencies>

如果你的是SpringBoot项目,只需修改版本号:


<properties>
    <java.version>1.8</java.version>
    <log4j2.version>2.16.0</log4j2.version>
</properties>

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-log4j2</artifactId>
    </dependency>
</dependencies>

参考资料

有关Apache Log4j2的完整信息,包括有关如何提交错误报告、补丁或改进建议,请参阅Apache Apache Log4j2网站:

Log4j – Apache Log4j 2

事件时间线

[2021/12/14] Apache log4j 2 团队宣布 Log4j 2.16.0 发布

[2021/12/13] 官方发布正式发布2.15.0,Java日志库Log4j2注入漏洞复现

[2021/12/11] Spring Boot应对Log4j2注入漏洞官方指南

[2021/12/10] 知名Java日志组件Log4j2爆出严重0 day漏洞

云梦楼兰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
log4j几个版本下载.rar
10-02
log4j几个版本的JAR 包文件,包含如下版本 log4j-1.2.12.jar log4j-1.2.14.jar log4j-1.2.15.jar log4j-1.2.16.jar log4j-1.2.17.jar
Apache Log4j2团队宣布Log4j 2.16.0发布,强烈建议升级
码农小胖哥
12-14 4468
log4j 2.16.0发布,强烈建议升级
Log4j2再发新版本2.16.0,完全删除Message Lookups的支持,加固漏洞防御!
程序猿DD
12-15 2450
昨天,Apache Log4j 团队再次发布了新版本:2.16.0 !2.16.0 更新内容默认禁用JNDI的访问,用户需要通过配置log4j2.enableJndi参数开启默认允许协议限...
Log4j 漏洞,用lombok的Slf4j没有影响
miaohancheng的博客
12-15 9873
漏洞描述 Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量
Log4j 再发 2.16.0 新版,彻底移除 Message Lookups;一行配置轻松升级
一行Java的博客
12-16 1324
大家好,我是一航! 近一周,可能是Log4j团队最忙的一周了;因为上周爆出来的核弹级Bug,在短短的一个星期时间内,连推了两个大版本,来修复此漏洞; 本以为今年只会推出一个小版本的;在这年末之际,因为一个bug,只能说好家伙,明年的版本指标都给用上了; 2.15.0上线短短3天之后,最新的2.16.0已经正式发布 更新内容 默认禁用 JNDI;需要 log4j2.enableJndi设置为 true 以允许 JNDI 完全删除对Message Lookups的支持。进一步强化防御 更多细节.
2.1.6升级到2.3.32版本需要替换的jar包
01-10
从struts2.1.6升级到struts2.3.32版本,没有与spring整合,替换掉同名字的jar包就可以了
基于Spring Boot 2.1.6 RELEASE的Java基础服务项目脚手架设计源码
最新发布
05-30
本项目是基于Spring Boot 2.1.6 RELEASE的Java基础服务项目脚手架设计源码,包含68个文件,主要文件类型为java、xml、properties、json、yml、gitignore、md、dm-code-generater/src/main/resources/使用说明、sql、...
4EXTRecovery_v2.1.6_RC2
09-22
最新版本的 4EXTRecovery_v2.1.6_RC2 刷机方便可替换背景
索鸟快传2.1.6免安装版本.zip
08-03
索鸟快传2.1.6免安装版本.zip
Log4j2再发新版本2.16.0,完全删除Message Lookups的支持,加固漏洞防御
程序猿DD
12-15 3113
昨天,Apache Log4j 团队再次发布了新版本:2.16.0 ! 2.16.0 更新内容 默认禁用JNDI的访问,用户需要通过配置log4j2.enableJndi参数开启 默认允许协议限制为:java、ldap、ldaps,并将ldap协议限制为仅可访问Java原始对象 Message Lookups被完全移除,加固漏洞的防御 更多更新细节,可以通过官网查看:https://logging.apache.org/log4j/2.x/ 如果您正在学习Spring Boot,那么推荐一个连载多年还在继
apache-log4j-2.17.0 核心jar包
03-31
Log4j 是一个日志记录框架,Log4j 2 是对 Log4j升级,提供了重大改进,超越其前身 Log4j 1.x,并提供许多其它现代功能 ,例如对标记的支持、使用查找的属性替换、lambda 表达式与日志记录时无垃圾等。 Apache Log4j 2.16.0/2.12.2 现已可用。但Apache软体基金会又释出了Log4j 2.17.0版来修补新的阻断服务(Denial of Service,DoS)漏洞。Log4j 团队已获悉一个安全漏洞 CVE-2021-45105,该漏洞已在 Java 8 及更高版本的 Log4j 2.17.0 中得到解决。
Log4j2日志框架
半生苦涩半生酸的博客
01-13 342
1.日志框架 日志接口(slf4j) slf4j是对所有日志框架制定的一种规范、标准、接口,并不是一个框架的具体的实现,因为接口并不能独立使用,需要和具体的日志框架实现配合使用(如log4j、logback) 日志实现(log4j、logback、log4j2) log4japache实现的一个开源日志组件 logback同样是由log4j的作者设计完成的,拥有更好的特性,...
log4j平稳升级log4j2
胡峻峥的博客
11-09 3116
一、前言   公司中的项目虽然已经用了很多的新技术了,但是日志的底层框架还是log4j,个人还是不喜欢用这个的。最近项目再生产环境上由于log4j引起了一场血案,于是决定升级log4j2。 二、现象   虽然生产环境有多个结点分散高并发带来的压力,但是消息中心上一周好多接入方接入,导致并发量一下就增多了,导致服务卡死。在堆栈信息中看到大量的BLOCK异常,如下。 "http-nio-...
log4j2.15下载地址
weixin_42490383的博客
12-10 1010
https://codeload.github.com/apache/logging-log4j2/tar.gz/refs/tags/log4j-2.15.0-rc1
Log4j2日志框架JNDI注入漏洞分析与复现
两米以下皆凡人的博客
12-14 5137
1、漏洞背景 大家在实际开发中,几乎无可避免的需要用到日志框架,不管你是前端后端客户端,他们可以追踪和记录我们的程序运行中的信息,我们可以利用日志很快定位问题,追踪分析。 而对于Java开发人员来说,最常用的日志框架便是Log4j2和logback,而本次漏洞的主角便是Apache Log4j2,它有一个特别强大的功能插件Lookups 如果我们试图通过日志去输出一个程序中不存在的对象,而在其他地方,那么我们便可以通过这个插件去通过某些方式去查找目标内容,它只提供一种规范,具体使用哪些方式去查找
Log4j 2.16.0发布,受Log4j漏洞影响的Apache项目一览
码农小胖哥
12-14 2083
今天的早些时候陷入CVE-2021-44228漏洞风波的Log4j发布了2.16.0版本。2.16.0版本强化漏洞防御在2.16.0版本版本中完全删除对Message Lookups的支持...
log4j2远程代码执行漏洞学习总结
heheyixiao233的博客
01-01 3392
log4j2远程代码执行漏洞学习总结 背景 近期log4j2的漏洞闹得沸沸扬扬,在工作之余也是找了一些资料看一下相关的内容,到现在网上的总结已经很全了,B站上有各种漏洞复现,各大博客类网站关于JNDI相关漏洞又重新被翻了出来,我这里主要是做一些我自己的总结和理解,以及我个人对漏洞的复现,当然很多内容包括整个实验流程很多都是从网上复制的,虽然是个缝合怪,但实验的代码和总结是自己的,不会像网上某些文章,无脑CV过来,有的还不全。在文章最后会给出我看到的比较好的各种资料。 不过江湖惯例,警告还是要放的 中华人民
Log4j2与JNDI结合
cloud的技术积累
06-04 4373
Log4j2和JNDI结合指定配置文件路径和日志文件
Log4j2 JDBCAppender的使用
z69183787的专栏
10-25 7009
一.缘由 最近打算重新整理一下项目的日志系统,将系统日志和业务日志区分开,然后采用文件或是数据库来存储日志,于是上网查了一下log4j的相关配置,并将系统日志写入了数据库,但是发生了一个bug: 当写入的信息里存在单引号时,数据库就会报错ORA-00917: 缺失逗号 查了一些资料,发现log4j已经很古老了,它对SQL基本没有做任何处理就执行存储操作,这样SQL里可能存在的一些特殊字符并没
easyexcel2.1.6
08-30
easyexcel是一个在Java应用中操作Excel文件的开源库,版本2.1.6是easyexcel的一个具体版本。 easyexcel2.1.6提供了许多功能和特性。首先,它能够读取和写入Excel文件,支持读取和写入大量的数据,具有较高的性能和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云梦楼兰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值