突发!Log4j 再爆“史诗级”漏洞,Kafka、Elasticsearch等均受影响,速查!修复!...

最新推荐文章于 2024-04-28 22:38:41 发布
最新推荐文章于 2024-04-28 22:38:41 发布
阅读量3.1k 收藏 2
点赞数
文章标签: java maven spring log4j spring boot
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwMTE3MDY4MQ==&mid=2652448503&idx=1&sn=c22134eb553e53b6824a5956eb132021&chksm=81304b61b647c2779593146b88eb0c0f0a71ae0d423419fcc4da0613616cd3c01e4f60d97d7a&scene=126&&sessionid=0
版权

点击上方“Java精选”,选择“设为星标”

别问别人为什么,多问自己凭什么!

下方有惊喜留言必回,有问必答!

每天 08:15 更新文章,每天进步一点点...

Log4j 2发布于2014年。Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。Log4j 2是对Log4j的重大升级,完全重写了log4j的日志实现。Log4j 2提供了Logback中可用的许多改进,同时修复了Logback架构中的一些固有问题,目前已经更新到2.15.0版本。

漏洞简介

Log4j 1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。目前官方已在Apache Log4j 2.8.2版本之后修复了该漏洞。

而再次爆出“史诗级”漏洞是由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

漏洞危害

攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器。

漏洞影响范围

Apache Log4j 2.x <= 2.14.1

注:不受影响版本:Apache log4j-2.15.0-rc2

漏洞修复措施

建议排查Java应用是否引入log4j-api、log4j-core两个jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护。

用户可以根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。

5de1c095189cbd1368ab4dd289c8910a.png

项目中如果使用Maven工具,查看项目的pom.xml文件中是否存在下图所示的相关字段以及其他依赖包,若版本号为小于2.15.0,则存在该漏洞。

97d4bfa92ebc6f7a4885343b5e82bca7.png

注意:Apache Log4j 2再次爆漏洞风险!阿里云安全团队发出预警,发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过,建议及时更新至Apache Log4j 2.15.0-rc2版本。

升级Apache Log4j 2所有相关应用到最新的log4j-2.15.0-rc2版本,地址:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

升级已知受影响的应用及组件,如:

spring-boot-strater-log4j2
Apache Solr
Apache Flink
Apache Druid
Apache Kafka
等

相信很多公司都在自查修复log4j漏洞中,目前Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等,如用到请检查其中的log4j版本是否2.0 <= Apache log4j2 <= 2.14.1,如是建议尽早更新应用或者更新log4j版本。

紧急缓解措施

如果来不及更新Log4j 2版本修复,可通过下述方式紧急缓解问题。

1)修改jvm参数

-Dlog4j2.formatMsgNoLookups=true

2)修改配置

log4j2.formatMsgNoLookups=True

3)将系统环境变量

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

Log4j官方修复方案

再次强调一次检查所有使用Log4j 2组件的项目系统,官方修复链接如下:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

众号“Java精选”所发表内容注明来源的,版权归原出处所有(无法查证版权的或者未注明出处的均来自网络,系转载,转载的目的在于传递更多信息,版权属于原作者。如有侵权,请联系,笔者会第一时间删除处理!

------ THE END ------

779ed463253148db14c49d7b2d12ba8d.png精品资料,超赞福利!b3fcf356dab23ce1fa226ae728d8fd53.png

>Java精选面试题<
3000+ 道 BAT 大厂面试题在线刷,最新、最全 Java 面试题!

☆ Java进阶学习资料
 Java自学、进阶路线图免费领

53845667667a31eba28e9370f4066b08.png

fb9f9b60838c17612d976c11a8c4c82e.png

期往精选  点击标题可跳转

为什么很多人不建议使用实数作为 HashMap 的 Key?

“光鲜”背后,一个月薪 12000 的北京程序员的真实生活!

切记,永远不要在你的代码中使用 “User” 这个单词!

干掉 IDEA:JetBrains 推出“下一代 IDE”轻量级开发工具 Fleet!

我这样写代码,比直接使用 MyBatis 效率提高了 100 倍!

同事使用 Redis 不当导致应用卡爆,我真是醉了...

并发模拟的四种方式+工具,超级实用!

ELK 不香了,我用更简洁、高效的企业级日志平台 Graylog!

fdfc96c70b446e49dbfbbc4aefd108a4.png技术交流群!7c6d66c23814f0a50bef276b9eb49db8.png

最近有很多人问,有没有读者&异性交流群,你懂的!想知道如何加入。加入方式很简单,有兴趣的同学,只需要点击下方卡片,回复“加群”,即可免费加入交流群!

文章有帮助的话,在看,转发吧!

Java精选
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Elasticsearch 解决 log4j 安全漏洞 - 升级镜像
咸鱼老罗的博客
12-15 3350
概论 Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方已发布正式安全公告及版本,漏洞编号:CVE-2021-44228,漏洞被利用可导致服务器被入侵等危害。 公司 ES 使用 Log4j 2 组件,存在安全问题,升级 ES 镜像中的 Log4j 2 版本解决该问题。 原理 java 项目只用替换编译出来的 jar 包就可以。 快教程 下载 log4j-core-2.16.jar 和 log4j-api-2.16.jar https://repo.maven.apache.org/ma
Log4j “核弹级”漏洞,Flink、Kafka等多个项目影响
keyan的岁月阁
12-12 196
Log4j “核弹级”漏洞,Flink、Kafka等多个项目影响 这两天,你熬夜应急了吗? 昨晚,对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。 据悉,Apache Log4j 2.x <= 2.14.1 版本回会影响。根据“微步在线研究响应中心”消息,可能的影响应用包括但不限于:Spring-Boot-strater-log4j2、Apach
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
最新发布
2401_84254530的博客
04-28 1000
dnslog回显测试易攻击示例代码。
log4j2发送消息至Kafka
weixin_33698823的博客
08-12 1104
git源码  为了给公司的大数据平台提供各项目组的日志,而又使各项目组在改动上无感知。做了一番调研后才发现log4j2默认有支持将日志发送到kafka的功能,惊喜之下赶紧看了下log4j对其的实现源码!发现默认的实现是同步阻塞的,如果kafka服务一旦挂掉会阻塞正常服务的日志打印,为此本人在参考源码的基础上做了一些修改。 log4j日志工...
突发Log4j “核弹级”漏洞,Flink、Kafka等至少十多个项目影响
weixin_45727359的博客
12-12 236
作者 | 褚杏娟这两天,你熬夜应急了吗?昨晚,对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 L...
冰河连夜复现了Log4j最新史诗级重大漏洞,含视频和完整案例代码,全网最全,赶快收藏吧
冰河的专栏
05-30 3881
周末与一些小伙伴交流的过程当中,发现一些小伙伴公司的项目中使用的Log4j版本还是2.14.0,我一听就有点震惊了:你们还在使用Log4j的2.14.0版本,这个版本存在重大漏洞啊!但是有些小伙伴看起来对Log4j中存在的重大漏洞不以为意。“我们项目中使用的Log4j一直是2.14.0这个版本啊,一直没啥问题啊!”。哎,看来有些小伙伴对Log4j2.14.0版本存在的漏洞还是不太了解呀,于是我连夜录制了复现Log4j最新重大漏洞的视频,发布到了B站。
org.apache.kafka kafka-log4j-appender 的jar包下载
11-03
<groupId>org.apache.kafka <artifactId>kafka-log4j-appender <version>0.10.2.0 </dependency>
kafka处理超大消息的配置 org.apache.kafka.common.errors.RecordTooLargeException
01-07
在使用 canal 和kafka处理数据同步时canal日志提示如下异常: java.lang.RuntimeException: java.util.concurrent.ExecutionException: org.apache.kafka.common.errors.RecordTooLargeException: The request ...
kafka 解决log4j:ERROR Failed to rename错误解决办法错误的jar包
10-31
log4j:ERROR Failed to rename
jmeter.backendlistener.kafka-1.0.1.jar
08-23
jmeter后端侦听器kafka 一个JMeter插件,使您可以将测试结果发送到Kafka服务器
log4j-kafka:提供一个将标准log4j日志输出到kafka的工具
06-25
客户端配置:##log4j.properties#####kafka topic名称log4j.appender.kafka.topic=log4jtest#####kafka broker地址log4j.appender.kafka.brokerList=Hadoop2-302E9-1-5:9092,Hadoop3-302E9-1-6:9092###配置完成后,...
log4j 漏洞
系统看你学习很认真,随机送了一个月会员!
12-13 4794
突发Log4j “核弹级”漏洞,Flink、Kafka等至少十多个项目影响 Apache Log4j远程代码执行漏洞 | 二次安全通告
log4j漏洞 elk平台 处理方法 (logstah5.5.1)
windowsxp的部落格
03-16 647
封网结束,开始处理log4j漏洞: 方法一替换jar文件 方法二 删除jar包中的类 1.应用漏洞 替换log4j-core xxx .jar 2.es漏洞需要替换core和api 否则报错:NoSuchFieldError:EMPTY_BYTE_ARRAY 3.logstah5.5.1漏洞 采用第二种方法 zip -q -d log4j-core-2.6.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class 参考官方.
Log4j2 重大漏洞!上万个项目中枪...
WantFlyDaCheng的博客
12-11 250
大家好,我是 乔戈里。今天一大早就看到群里有小伙伴说 Log4j2 的远程代码执行漏洞的事情,在这里提示一下,以防有小伙伴还没有看到。Apache 这次又要背锅了,这漏洞影响范围太广(...
Log4j 被曝核弹级漏洞,开发者炸锅
热门推荐
努力做最接地气的编程干货分享,感谢关注
12-11 1万+
附解决方案
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)
weixin_50341025的博客
04-23 2603
Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。 漏洞环境 执行如下命令启动漏洞环境 docker-compose up -d 环境启动后,将在4712端口开启一个TCPServer。 说一下,除了使用vulhub的docker镜像搭建环境外,我们下载了log4j的jar文件后可以直接在命令行启动这个TCPServer:java -cp "log4j-api-2.8.1.j
Log4j2漏洞害者自诉之ELK
bbq烤鸡的后宫
12-17 3448
Log4j2害者自诉之ELK前言现象排最后 前言 书接上回Log4j2漏洞复现 ,撸完代码后我表示不可能、我没事、隔岸观火、被窝里看戏,没过多少就到了攻击。前文写在最后(图-1),啪啪啪,打脸来的就是这么快。 图-1 现象 排 由于后面的poweshell是高危操作,阿里云拦截下来了,才有此次报警。 刚开始一脸懵逼,看了进程链后发现是ELK的logstash,就有点怀疑是最近火Log4j2漏洞在作怪,但是ELK是部署在内网不对外网开放怎么会存在被攻击的漏洞,而且之前我也通过kibana的
Flink等多组件影响,Apache Log4j曝史诗漏洞
mengyidan的专栏
12-10 1万+
全球知名开源日志组件Apache Log4j 被曝存在严重高危险级别远程代码执行漏洞,攻击者可以利用该漏洞远程执行代码。 目前漏洞影响的主要是Apache Log4j 2.x <= 2.14.1版本,当用户使用Apache Log4j2来处理日志时,漏洞会对用户输入的内容进行特殊处理,攻击者便可以在Apache Log4j2 中构造特殊请求来触发远程代码执行。 如何判断是否影响,开发者只需排在Java应用中是否引入 log4j-api , log4j-core 两个jar文件,若存在,建议立即
flink代码中如何设置Flink 的配置文件中,将 flink.logging.log4j2.appender.kafka
06-09
上述配置中,`flink.logging.log4j2.appender.kafka.type` 属性指定了使用 Kafka Appender 进行日志输出,`flink.logging.log4j2.appender.kafka.name` 属性指定了 Appender 的名称,`flink.logging.log4j2....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值