log4j2安全漏洞修复

已于 2022-07-29 16:07:17 修改
阅读量715 收藏
点赞数
文章标签: log4j apache tomcat
于 2022-07-29 15:57:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carry_666/article/details/126057709
版权

确定版本
用JAR包替换工具扫描或手动找现有程序的log4j-1.2.15.jar包,举例如下:
文件路径:/usr/apache-tomcat/webapps/xxx/WEB-INF/lib,
设置产品根路径,设置扫描文件,目前是log4j-1.2.15.jar后,
用log4j2check_v0.0.3检测工具检测版本远程代码执行漏洞,检出受影响的 jar/war 包,受影响的扫描结果会保存在当前目录下的 vuln.txt 文件中
发现此版本并不在影响范围内,只用执行方式一即可

其他版本处理方式
目前官方发布的最新版本是2.15.0,其提到的JAR升级方式只是在2.15.0上的rc版,不能完全投入生产使用。结合生产情况,根据版本应采取不同措施如下。
版本号 处理方式
在这里插入图片描述
方式一.新增环境变量方式
在tomcat路径/bin/startup.bat(linux是startup.sh)或 weblogic域路径/bin/startWeblogic.bat(linux是startWeblogic.sh)中变量JAVA_OPTS(weblogic是JAVA_OPTIONS)
新增 -Dlog4j2.formatMsgNoLookups=true
重启后生效,如下。
在这里插入图片描述
方式二.修改样式方式
修改每个应用的tomcat文件中server.xml的PatternLayout部分,%m改成%m{nolookups}
在这里插入图片描述

laoge丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Log4j 漏洞修复和临时补救方法
12-14 3760
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
log4j2日志漏洞解决
六月Bing的博客
12-22 3888
日志的作用 日志记录主要用来监视代码中变量的变化情况,周期性的记录到文件中供其他应用进行统计分析工作;跟踪代码运行时轨迹,作为日后审计的依据;担当集成开发环境中的调试器的作用,向文件或控制台打印代码的调试信息。因此,对于程序员来说,日志记录非常重要。 log4j2 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞的出现,正
apache log4j-1.2.15的使用
狼烟烽火
03-28 4076
1.这个log4j的下载下载http://www.apache.org/dyn/closer.cgi/logging/log4j/1.2.15/apache-log4j-1.2.15.zip2.将log4j-1.2.15.jar 导入近来3.建立一个文件 “Log4j.properties” 将下面的代码复制到这个文件里!### 输出到日志文件 ####log4j.propertieslog4j.rootLogger=debug, stdout, Rlog4j.appender.stdout=org.apa
Log4j爆核弹级漏洞,大厂中招、公司炸锅了...
纯洁的微笑
12-12 7551
作者:研磨架构出处:https://www.zhihu.com/question/505025655/answer/2265086040这周,很多 Java 程序员都忙疯了,因为只要是 J...
Web网络安全-----Log4j高危漏洞原理及修复_log4j漏洞是什么
最新发布
weixin_42340783的博客
06-03 1002
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
log4j-1.2.15.jar
07-11
针对log4j:ERROR Failed to rename的问题,修改源代码中的DailyRollingFileAppender.java文件,将rename改为copy。 该log4j-1.2.15.jar,就是修改后的jar包。 已经过测试,可以正常生成日志文件。
Java入门之log4j的使用
wang_da_bing的博客
10-27 402
注本博客在编写时,参考了不动声色的蜗牛的博客,现一并将其链接贴在下面博客地址 log4j的简介 Log4jApache的一个开源项目,通过使用Log4j,可以控制日志信息格式及其输送目的地(控制台、文件、数据库等),方便后期查找系统运行期间出现的问题,进而便于维护系统。 配置log4j 第一步:导入log4j-1.2.15.jar依赖包; 工程示例图如下: 第二步:在src根目录下创建名为l...
Missing artifact log4j:log4j:jar:1.2.15:compile
weixin_33800463的博客
10-07 803
在使用Maven构建Hadoop应用的时候出现:Missing artifact log4j:log4j:jar:1.2.15:compile而在pom.xml的配置是<dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId&gt...
一个Log4j 1.2.15引起的一个怪异问题
sys53
06-28 280
大概在2个月前已经完成了sword项目的源代码开发,并且在eclipse环境中已经完成了功能性测试。但是打包成jar文件进行运行问题,出现下面的问题:Log4jLoggerFactory 的死循环。 [quote] C:\Documents and Settings\sys53\桌面>java -classpath codesword.jar com.codesword.CodeGener...
log4j2漏洞升级不打印日志
weixin_44431755的博客
09-25 1049
log4j2漏洞升级不打印日志
log4j2版本漏洞 修复版本2.16.0
12-17
Log4j2版本漏洞与修复方案:聚焦2.16.0》 在软件安全领域,漏洞的存在如同定时炸弹,随时可能引发严重后果。其中,Log4j2的漏洞问题备受关注,尤其是在2021年曝光的“Log4Shell”漏洞(CVE-2021-44228)更是引起...
log4j2版本漏洞 修复版本2.15.0
12-17
Log4j2版本漏洞与修复方案》 在IT安全领域,漏洞的发现与修复是保障系统稳定运行的重要环节。此次我们关注的是“log4j2版本漏洞”,这是一个影响广泛且严重的问题,尤其是在Java应用程序中。Log4j2Apache基金会...
log4j2.17.2
04-14
此次,我们聚焦于“log4j2.17.2漏洞修复程序包”,深入探讨该版本如何解决这一安全隐患。 Log4j2漏洞(CVE-2021-44228)的本质在于,攻击者可以通过操纵日志输入,触发JNDI(Java Naming and Directory Interface)...
log4j2漏洞检测工具
05-07
Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的关注。这个漏洞允许攻击者通过精心构造的日志输入执行远程代码,从而对系统造成严重威胁。为了解决这...
log4j log4j2 2.15.0漏洞解决
12-10
然而,近期Log4j2曝出的重大安全漏洞(CVE-2021-44228)引发了全球关注,这个漏洞被称为“Log4Shell”,严重影响了依赖Log4j2的各类应用系统的安全性。本文将详细介绍Log4j2 2.15.0版本如何解决这一漏洞,并探讨相关...
java中使用log4j心得
a720561252803的博客
05-13 319
第一步:下载log4j-1.2.15.jar这个包 第二步:创建一个java项目导入log4j 第三步:在src目录下添加log4j.properties配置文件 ### 设置级别和目的地(这里多个目的地) ### ### log4j.rootLogger=[level],appenderName,appenderName,... ### level:是log4j的日志级别,优先级从高到低分别是ERROR,WARN,INFO,DEBUG。 ### appenderName:就是指定日志信息输出到那个地方
2021年12月报Log4j1.2网络安全漏洞排查和修复建议
lujiawei00的专栏
12-20 9651
2021年12月报Log4j1.2网络安全漏洞排查和修复建议。
Log4j 1.2.15路径替换一个bug
lixjluck的专栏
07-13 270
    Log4j提供了一个路径替换(subst-mechanism)功能,可以实现运行期替换log4j配置文件里${xx}的标记为外部指定的值。    例如:log4j.xml可以指定file的值为"${loggingRoot}/project.log",此时就可以利用log4j的subst功能,把${loggingRoot}替换成具体的路径,如d:/app/logs &lt;appender...
Log4j2远程代码执行漏洞问题复现及处理方式
weixin_43762303的博客
12-13 4755
log4j漏洞处理
Log4j安全漏洞修复
07-29
根据引用\[1\]和\[2\],修复Log4j安全漏洞的推荐方案是通过删除漏洞类进行修复。具体的操作是使用以下命令删除log4j-core jar包中存在漏洞的类:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值